Rewards Hub 
Uma versão falsa do Ledger Live ficou disponível na App Store da Apple por cerca de duas semanas. Até sua remoção em 14 de abril, pelo menos 50 pessoas perderam um total de US$9,5 milhões em criptomoedas. O app foi publicado sob o nome "Leva Heal Limited", uma entidade sem relação com a Ledger SAS, desenvolvedora das carteiras originais Ledger. As vítimas baixaram o que acreditavam ser o aplicativo oficial, inseriram suas frases-semente e tiveram as carteiras esvaziadas em minutos.
O investigador blockchain ZachXBT rastreou os fundos e publicou a análise completa em 14 de abril. As maiores perdas individuais foram de US$3,23 milhões em USDT, US$2,08 milhões em USDC e US$1,95 milhão entre BTC, ETH e stETH. Uma das vítimas relatou no X a perda de 5,9 BTC, suas economias de uma década.
Este episódio ilustra uma falha no processo de revisão da App Store em um curto período, impactando usuários que confiaram na plataforma.
Como funcionou o golpe: do download ao prejuízo
O golpe era simples e, por isso, eficaz. O falso Ledger Live apareceu na App Store do macOS com mesmo ícone, nome e um nome de publicador similar ao real. "Leva Heal Limited" não levantaria suspeitas para quem procura "Ledger Live" na loja, esperando que a Apple fizesse o filtro de aplicativos falsos.
Após instalado, o app exibia uma tela de configuração de carteira idêntica à original, solicitando a frase de 24 palavras para "restaurar" ou "sincronizar" a carteira. Ao inserir as palavras, os atacantes obtinham acesso total aos ativos. Não houve uso de malware ou exploração técnica — apenas um formulário e a confiança do usuário.
As perdas ocorreram rapidamente. Entre 7 e 13 de abril, os fundos eram transferidos logo após as vítimas digitarem a frase-semente. O roubo de US$3,23 milhões em USDT ocorreu em 9 de abril; o de US$1,95 milhão (BTC/ETH/stETH) em 8 de abril; e o de US$2,08 milhões em USDC em 11 de abril. O padrão se repetiu: frase-semente inserida, fundos transferidos em minutos e enviados a carteiras intermediárias antes dos endereços de depósito em exchanges.
Para onde foi o dinheiro
A análise on-chain de ZachXBT rastreou os fundos através de mais de 150 endereços de depósito na KuCoin. O esquema de lavagem usou um serviço centralizado de mixagem chamado "AudiA6", que processa criptoativos roubados por altas taxas, distribuindo entre dezenas de endereços para evitar alertas de compliance das exchanges.
A escolha da KuCoin como saída chama atenção. A exchange já enfrentou pressões regulatórias em diversos países e seus requisitos KYC são considerados menos rigorosos do que exchanges reguladas nos EUA. Para criminosos, usar exchanges com controles mais brandos reduz o risco de bloqueio de fundos.
Até 16 de abril, nenhum valor foi recuperado. O uso de serviço de mixagem e a velocidade da lavagem dificultam a recuperação, embora haja possibilidade caso a KuCoin coopere com autoridades fornecendo dados das contas envolvidas.
Por que o processo de revisão da Apple falhou
Este é o ponto mais frustrante para as vítimas. A Apple cobra 30% de comissão nas transações da App Store e promove o ecossistema como mais seguro devido ao processo de revisão. Por anos, a companhia usa o argumento de segurança para evitar a instalação de apps fora da loja.
Mesmo assim, um aplicativo falso de carteira cripto permaneceu na loja por cerca de duas semanas antes de ser removido, somente após denúncias da comunidade e cobertura midiática. O time de revisão não identificou o app durante todo o período. Segundo apuração do 9to5Mac, houve múltiplas falhas no mesmo dia, incluindo um app fraudulento do Freecash.
A Apple informou que a conta do desenvolvedor foi encerrada após a remoção. No entanto, encerrar a conta após o roubo é insuficiente. A verdadeira questão é como um clone de um dos apps cripto mais conhecidos, publicado por entidade sem relação, conseguiu ser aprovado.
As vítimas e possíveis consequências legais
Os mais de 50 afetados não são apenas números. Um usuário relatou publicamente no X, sob o nome @glove, ter perdido 5,9 BTC, equivalente a dez anos de economia. Outros perderam valores de seis e sete dígitos em stablecoins mantidas em armazenamento a frio por considerarem as carteiras físicas a opção mais segura.
A ironia é evidente: não clicaram em links suspeitos, mas confiaram na App Store, considerada referência em segurança, baixando o que achavam ser um app verificado. Seguiram recomendações de segurança: usar a loja oficial.
ZachXBT sugeriu que a dimensão das perdas pode embasar uma ação coletiva contra a Apple por falha no dever de cuidado. O argumento é que a empresa lucra com o modelo "jardim murado", impede instalação de apps externos e representa segurança como diferencial. Quando o processo falha e há prejuízo financeiro, isso pode gerar questionamento legal.
A chance de um processo depende da mobilização das vítimas e do interesse de escritórios de advocacia. O precedente vai além do caso específico: se não houver consequência jurídica por hospedar um app fraudulento, a promessa de segurança da App Store se torna apenas argumento de marketing.
Como se proteger de aplicativos de carteira falsos
A lição mais dura é que "baixar da loja oficial" não basta mais. São necessárias etapas extras de verificação, que levam menos de um minuto:
Verifique o nome do publicador antes de baixar. O verdadeiro Ledger Live é publicado por "Ledger SAS". O falso estava sob "Leva Heal Limited". Essa checagem teria evitado todos os prejuízos deste caso. Acesse o site oficial do desenvolvedor, encontre o link direto e confira se bate com o da loja.
Nunca digite sua frase-semente em nenhum app. Sua frase de 24 palavras é a chave mestra da carteira. Nenhum aplicativo legítimo pedirá para digitá-la no computador ou celular para "sincronizar" ou "restaurar". A Ledger orienta que a frase seja inserida apenas no próprio dispositivo físico.
Salve nos favoritos a página oficial de download. Acesse ledger.com/ledger-live uma vez, confirme o domínio, salve nos favoritos e use sempre esse link. Não procure todas as vezes na loja, pois resultados de busca podem trazer falsos.
Faça um teste on-chain antes de confiar em um app. Se já instalou um app de carteira e quer verificar sua legitimidade, envie uma pequena quantia de teste (por exemplo, US$5) e confirme o recebimento antes de transferir valores maiores.
Para quem prefere manter criptoativos em exchange regulada em vez de gerenciar as próprias chaves, o risco muda. A custódia própria continua sendo a referência em controle de ativos, mas exige verificação rigorosa de cada software utilizado. Já a custódia por exchange elimina o vetor de golpe por aplicativo falso, embora tenha riscos próprios, como eventual insolvência da plataforma.
O que este caso revela sobre a segurança no mercado cripto
Não houve falha em smart contract ou invasão no blockchain. O ataque explorou a confiança do usuário no processo de verificação da plataforma. Funcionou porque o sistema de revisão da Apple não era suficiente para garantir essa confiança.
A indústria cripto avançou muito em segurança on-chain: carteiras multi-assinatura, módulos de segurança física e auditorias estão mais comuns. Mas a superfície de ataque mudou. Os roubos recentes não exploram protocolos, e sim engenharia social, phishing e aplicativos falsos — explorando a diferença entre percepção e realidade da segurança.
O portal The Block relatou que os fundos roubados incluíam Bitcoin, Ethereum, Solana, Tron e XRP, mostrando que os atacantes driblaram ativos em diversas redes. Uma frase-semente dá acesso a todas as carteiras derivadas, em qualquer blockchain. Um único campo, perda total.
Para a Apple, trata-se de um problema reputacional que vai além do ecossistema cripto. Se a App Store não filtra clones de apps financeiros conhecidos, a justificativa de segurança do "jardim murado" enfraquece. Com a União Europeia obrigando a Apple a permitir instalação de apps externos (Digital Markets Act), o argumento de exclusividade perde força.
Perguntas frequentes
Como um app falso do Ledger entrou na App Store?
O processo de revisão da Apple, embora eficiente contra malware, não detecta aplicativos que imitam marcas e interfaces conhecidas. O falso Ledger Live foi publicado por "Leva Heal Limited" e o time de revisão não relacionou o nome da publicadora com a marca Ledger. O app só foi removido após denúncias da comunidade.
As vítimas podem recuperar os US$9,5 milhões?
A recuperação é difícil, mas não impossível. Os fundos passaram por mais de 150 endereços na KuCoin usando o serviço de mixagem "AudiA6". Caso a KuCoin coopere com as autoridades e congele contas relacionadas, parte dos ativos pode ser recuperada. Porém, o processo de mixagem dificulta o rastreamento e, até 16 de abril, nada foi recuperado.
Devo parar de usar a carteira física Ledger após esse incidente?
O dispositivo Ledger em si não foi comprometido. O problema foi um app falso que induziu usuários a compartilhar a frase-semente. O equipamento continua seguro, desde que a frase seja inserida apenas no dispositivo e que o software oficial seja baixado exclusivamente de ledger.com, nunca por buscas em lojas de apps.
A Apple é legalmente responsável pelas perdas causadas por apps falsos na loja?
Especialistas sugerem que este caso pode embasar uma ação coletiva. A Apple lucra com o modelo fechado da loja e promete segurança. Quando a curadoria falha e há prejuízo financeiro, há espaço para discussão jurídica sobre responsabilidade. Até agora, nenhuma ação foi movida, mas as perdas documentadas são relevantes.
Conclusão
O caso do app Ledger Live falso na App Store da Apple evidenciou uma vulnerabilidade não esperada por usuários de cripto. Cinquenta pessoas confiaram no processo de revisão da Apple, inseriram frases-semente em um app verificado e perderam US$9,5 milhões em menos de uma semana. Não se tratou de hackers sofisticados, mas de um clone submetido por uma entidade desconhecida, aguardando que usuários entregassem suas chaves.
A orientação prática é direta: sempre verifique o nome do publicador antes de instalar qualquer app relacionado a cripto. Nunca digite sua frase-semente em softwares no computador ou celular. E trate os resultados de buscas nas lojas de apps com a mesma cautela que teria em qualquer outro site, pois o selo de "loja oficial" não garante total segurança. O valor perdido mostra o risco de confiar cegamente nesse sistema.
Este artigo tem caráter informativo e não constitui recomendação financeira ou de investimento. Negociações com criptomoedas envolvem riscos. Sempre realize sua própria pesquisa antes de tomar decisões.
