Aplikasi Ledger Palsu Menguras Dana Pensiun Musisi Sebesar 5,9 BTC

Seorang musisi AS kehilangan 5,9 Bitcoin senilai sekitar $420.000 setelah menginstal aplikasi berbahaya yang menyamar sebagai dompet kripto, dalam kasus yang menyoroti risiko berkelanjutan yang terkait dengan aplikasi palsu dan pencurian frasa kunci (seed phrase).

Garrett Dutton, yang dikenal sebagai “G. Love” dari G. Love & Special Sauce, mengatakan bahwa ia mengunduh antarmuka dompet yang tampaknya resmi dari Ledger dari Apple App Store saat sedang menyiapkan komputer baru.

Setelah membuka aplikasi tersebut, ia memasukkan frasa pemulihan (recovery seed phrase) yang terdiri dari 24 kata, yang memberi penyerang akses penuh ke dompetnya. Dana yang terkumpul selama kurang lebih 10 tahun tersebut langsung ditransfer keluar.

Peneliti blockchain ZachXBT melacak Bitcoin yang dicuri, melaporkan bahwa aset tersebut dipindahkan melalui sembilan transaksi dan dialihkan ke alamat deposit yang terkait dengan KuCoin, yang menunjukkan upaya untuk mengaburkan jejak transaksi.

Insiden tersebut tidak melibatkan pelanggaran terhadap dompet perangkat keras Ledger. Sebaliknya, insiden tersebut mengikuti pola serangan umum di mana pengguna ditipu untuk memasukkan kredensial sensitif ke dalam perangkat lunak palsu yang dirancang untuk meniru aplikasi dompet yang sah.

Ledger telah berulang kali memperingatkan bahwa mereka tidak pernah meminta frasa sandi melalui aplikasi atau saluran dukungan, dan setiap permintaan yang meminta informasi tersebut harus dianggap sebagai penipuan.

Insiden serupa yang melibatkan aplikasi dompet palsu telah dilaporkan dalam beberapa tahun terakhir, termasuk kasus di mana versi palsu melewati proses peninjauan platform dan mengakibatkan kerugian signifikan bagi pengguna.

Kasus ini menambah angka penipuan terkait kripto yang terus meningkat. Data dari Biro Investigasi Federal menunjukkan kerugian yang terkait dengan penipuan kripto di Amerika Serikat mencapai $11,36 miliar pada tahun 2025, dengan penipuan investasi menyumbang sebagian besar kerugian tersebut.

Insiden ini menyoroti risiko utama dalam pengaturan penyimpanan mandiri, di mana kendali atas aset sepenuhnya bergantung pada keamanan kunci pribadi, dan satu pengungkapan saja dapat menyebabkan kerugian yang tidak dapat dipulihkan.