Ứng dụng Ledger Live giả mạo đã lấy cắp 9,5 triệu USD từ hơn 50 nạn nhân qua App Store của Apple

Một phiên bản giả mạo của Ledger Live đã xuất hiện trên Apple App Store trong khoảng hai tuần. Đến khi Apple gỡ bỏ ứng dụng vào ngày 14/4, ít nhất 50 người đã mất tổng cộng 9,5 triệu USD bằng tiền điện tử. Ứng dụng này được đăng tải dưới tên "Leva Heal Limited," một đơn vị không có liên hệ với Ledger SAS – công ty sản xuất ví cứng Ledger chính hãng. Các nạn nhân tải về ứng dụng mà họ tin là Ledger Live chính thức, nhập cụm từ khôi phục của mình và sau đó thấy ví của họ bị rút sạch chỉ trong vài phút.

Nhà điều tra blockchain ZachXBT đã truy vết dòng tiền bị đánh cắp và công bố toàn bộ phân tích vào ngày 14/4. Ba trường hợp thiệt hại lớn nhất là 3,23 triệu USDT, 2,08 triệu USDC, và 1,95 triệu USD gồm BTC, ETH, và stETH. Một nạn nhân chia sẻ trên X rằng anh ấy đã mất 5,9 BTC, toàn bộ khoản tiết kiệm của mình trong 10 năm.

Đây là câu chuyện về một lỗ hổng kéo dài sáu ngày khi quy trình kiểm duyệt của App Store thất bại, dẫn đến thiệt hại cho những người dùng đã tin tưởng vào đó.

Lừa đảo diễn ra như thế nào?

Cuộc tấn công diễn ra đơn giản nhưng lại rất hiệu quả. Ứng dụng Ledger Live giả mạo xuất hiện trên App Store macOS với biểu tượng, tên và nhà xuất bản gần giống với bản thật. "Leva Heal Limited" sẽ không gây nghi ngờ cho người tìm kiếm "Ledger Live" và kỳ vọng quy trình kiểm duyệt của Apple sẽ loại bỏ các ứng dụng giả mạo.

Khi được cài đặt, ứng dụng hiển thị màn hình thiết lập ví giống hệt giao diện Ledger Live thật. Ứng dụng yêu cầu người dùng nhập cụm 24 từ phục hồi để "khôi phục" hoặc "đồng bộ" ví. Ngay sau khi người dùng nhập xong, toàn bộ tài sản trong ví sẽ bị kiểm soát bởi kẻ tấn công. Không có mã độc, không có khai thác lỗ hổng, chỉ là một ô nhập liệu và sự tin tưởng nhầm chỗ.

Tài sản bị rút rất nhanh. Trong khoảng 7–13/4, kẻ tấn công thực hiện các giao dịch có hệ thống. Vụ mất 3,23 triệu USDT xảy ra ngày 9/4, 1,95 triệu USD BTC/ETH/stETH ngày 8/4, và 2,08 triệu USDC ngày 11/4. Tất cả theo cùng một quy trình: nhập cụm từ phục hồi, tài sản được chuyển ra trong vài phút và nhanh chóng chuyển qua ví trung gian trước khi đến địa chỉ sàn giao dịch.

Tiền đã đi đâu?

Phân tích on-chain của ZachXBT ghi nhận tài sản bị chuyển qua hơn 150 địa chỉ nạp của KuCoin. Hoạt động rửa tiền sử dụng dịch vụ "AudiA6" – một nền tảng trộn tiền điện tử tập trung, nhằm phân tán và tránh bị phát hiện bởi hệ thống kiểm soát của sàn.

Việc chọn KuCoin làm điểm thoát cũng đáng chú ý. KuCoin từng chịu áp lực pháp lý tại nhiều quốc gia và yêu cầu KYC bị đánh giá là không nghiêm ngặt như các sàn tuân thủ quy định Mỹ. Đối với kẻ tấn công, sử dụng các sàn kiểm soát lỏng lẻo giúp giảm rủi ro tài khoản bị đóng băng.

Tới ngày 16/4, chưa có khoản nào được thu hồi. Dịch vụ trộn và tốc độ rửa tiền khiến quá trình phục hồi trở nên cực kỳ khó, dù vẫn có khả năng nếu KuCoin hợp tác với cơ quan chức năng.

Tại sao quy trình kiểm duyệt của Apple thất bại?

Điều này gây tổn thương nhất cho nạn nhân. Apple thu 30% hoa hồng cho mỗi giao dịch qua App Store và quảng bá hệ sinh thái của mình an toàn hơn nhờ kiểm duyệt kỹ lưỡng. Công ty này đã sử dụng lý do bảo mật App Store để phản đối việc cho phép cài đặt ứng dụng ngoài hoặc chợ ứng dụng thay thế.

Tuy nhiên, một ứng dụng ví tiền điện tử giả mạo đã tồn tại trên App Store khoảng hai tuần trước khi bị gỡ. Đội kiểm duyệt của Apple không phát hiện ra, mà chỉ gỡ bỏ sau khi cộng đồng và truyền thông lên tiếng.

Theo báo cáo từ 9to5Mac, ứng dụng Ledger giả mạo không phải trường hợp duy nhất bị gỡ hôm đó; Apple còn xóa một bản Freecash giả mạo, cho thấy lỗ hổng không phải cá biệt mà là hệ thống.

Tài khoản nhà phát triển bị khóa sau khi ứng dụng bị xóa. Tuy nhiên, hành động này chỉ xảy ra sau khi 9,5 triệu USD đã bị lấy mất. Vấn đề chính là làm thế nào một bản sao gần như hoàn chỉnh của ứng dụng crypto nổi tiếng lại vượt qua vòng kiểm duyệt ban đầu.

Nạn nhân và các vấn đề pháp lý

Hơn 50 nạn nhân đều là những cá nhân thực tế. Một người dùng công khai trên X với tên @glove miêu tả mất 5,9 BTC – toàn bộ số tiền tích cóp trong 10 năm. Một số khác mất hàng trăm nghìn đến hàng triệu USD stablecoin mà họ đã lưu trữ lạnh vì nghĩ ví cứng an toàn nhất.

Điều trớ trêu là đây không phải những người nhấp vào liên kết đáng ngờ. Họ đã chủ động lên App Store, nền tảng vốn được quảng bá là an toàn, và tải về ứng dụng mà họ tin là đã được xác thực. Họ làm đúng theo các hướng dẫn bảo mật phổ biến: chỉ tải app từ nguồn chính thức.

ZachXBT cho rằng quy mô thiệt hại này có thể làm cơ sở cho một vụ kiện tập thể đối với Apple. Tranh luận pháp lý xoay quanh nghĩa vụ bảo vệ người dùng của Apple. Công ty này hưởng lợi từ mô hình "walled garden", ngăn người dùng cài app ngoài và cam kết quy trình kiểm duyệt sẽ bảo vệ khỏi phần mềm độc hại. Khi quy trình đó thất bại và người dùng thiệt hại nặng, đó trở thành rủi ro pháp lý.

Khả năng có vụ kiện tập thể phụ thuộc vào số nạn nhân hợp tác và mức độ quyết liệt của hãng luật. Tiền lệ này quan trọng với ngành, bởi nếu Apple không chịu trách nhiệm pháp lý, cam kết an toàn App Store sẽ chỉ là khẩu hiệu tiếp thị.

Làm sao để bảo vệ mình khỏi ví giả mạo?

Bài học lớn nhất là "chỉ tải từ cửa hàng chính thức" không còn đủ. Cần thêm một số bước xác minh, chỉ mất vài chục giây.

Kiểm tra tên nhà phát hành trước khi tải. Ledger Live chính hãng do "Ledger SAS" phát hành. Bản giả do "Leva Heal Limited". Kiểm tra này có thể ngăn được mọi vụ lừa đảo tương tự. Nên truy cập trang chính thức của nhà phát triển, lấy liên kết tải về và so sánh với app store.

Tuyệt đối không nhập cụm từ phục hồi vào bất cứ ứng dụng nào. Cụm 24 từ này là chìa khóa chính cho ví của bạn. Không ứng dụng ví nào hợp pháp yêu cầu nhập cụm từ này vào phần mềm để "đồng bộ" hay "khôi phục". Tài liệu chính thức của Ledger khuyến cáo chỉ nhập cụm từ phục hồi trực tiếp trên ví cứng, không nhập trên máy tính hoặc điện thoại.

Đánh dấu trang tải chính hãng. Hãy vào ledger.com/ledger-live, xác thực đúng tên miền và lưu lại. Chỉ dùng trang này mỗi khi cần tải hay cập nhật Ledger Live. Không nên tìm kiếm trên App Store vì kết quả có thể chứa bản giả.

Kiểm tra giao dịch nhỏ trước khi tin tưởng app. Nếu đã cài một ứng dụng ví và muốn xác thực, nên thử chuyển một khoản nhỏ (ví dụ 5 USD) trước khi chuyển số lớn.

Với những ai ưu tiên lưu trữ tài sản trên sàn giao dịch được quản lý thay vì tự giữ khóa riêng, việc đánh đổi rủi ro đã thay đổi. Tự lưu trữ vẫn là tiêu chuẩn cao nhất về quyền kiểm soát tài sản, nhưng đòi hỏi người dùng phải xác thực kỹ từng phần mềm liên quan. Lưu ký trên sàn loại bỏ nguy cơ bị lừa bởi app giả, nhưng lại tiềm ẩn các rủi ro khác như sàn mất khả năng thanh toán.

Ý nghĩa rộng hơn với bảo mật Tiền điện tử

Đây không phải là một vụ hack smart contract. Không có blockchain nào bị xâm nhập. Cuộc tấn công khai thác điểm yếu nhất trong chuỗi bảo mật: niềm tin của người dùng vào quy trình xác thực của nền tảng. Và nó đã thành công vì quy trình kiểm duyệt của Apple tạo ra sự tin tưởng mà thực tế không đáp ứng được.

Ngành crypto đã đầu tư nhiều năm để nâng cao bảo mật on-chain: ví multi-sig, phần cứng bảo mật, kiểm định hợp đồng thông minh, chương trình săn lỗi… Nhưng bề mặt tấn công đang thay đổi. Những vụ trộm cắp hiệu quả nhất trong năm 2025-2026 không phải do lỗi giao thức mà là lừa đảo xã hội, phishing, và app giả mạo nhắm vào sự chênh lệch giữa niềm tin và thực tế.

Thông tin từ The Block cho biết số tài sản bị mất trải rộng trên Bitcoin, Ethereum, Solana, Tron và XRP, nghĩa là kẻ xấu đã rút hết tài sản trên tất cả các blockchain mà nạn nhân sở hữu. Một cụm từ phục hồi kiểm soát mọi ví phát sinh trên mọi mạng. Một lần nhập, mất tất cả.

Với Apple, đây là vấn đề về danh tiếng vượt ra ngoài lĩnh vực crypto. Nếu App Store không kiểm duyệt hiệu quả các ứng dụng tài chính nổi tiếng, luận điểm về "vườn tường rào" an toàn sẽ mất giá trị. Khi các nhà lập pháp EU đã buộc Apple mở cửa cho sideloading theo Đạo luật Thị trường Kỹ thuật số, khả năng Apple dựa vào kiểm duyệt như lý do độc quyền App Store càng bị thách thức.

Bắt đầu giao dịch trên Phemex →

Câu hỏi thường gặp

Tại sao ứng dụng Ledger giả xuất hiện trên Apple App Store?

Quy trình kiểm duyệt của Apple chủ yếu hiệu quả với phần mềm độc hại, nhưng khó phát hiện các ứng dụng giả mạo thương hiệu tài chính nổi tiếng. Bản Ledger Live giả được phát hành bởi "Leva Heal Limited" và đội ngũ kiểm duyệt không phát hiện sự không khớp tên nhà phát triển với thương hiệu Ledger. Ứng dụng chỉ bị gỡ bỏ sau phản ánh từ cộng đồng.

Nạn nhân có thể thu hồi lại 9,5 triệu USD bị mất không?

Khả năng thu hồi rất thấp nhưng không hoàn toàn không thể. Tài sản bị rửa qua hơn 150 địa chỉ KuCoin cùng dịch vụ trộn AudiA6. Nếu KuCoin hỗ trợ cơ quan chức năng và đóng băng các tài khoản liên quan, có thể thu hồi được một phần. Tuy nhiên, quy trình trộn tiền được thiết kế để làm việc này trở nên khó khăn và tới ngày 16/4 vẫn chưa có khoản nào được thu hồi.

Tôi có nên ngừng sử dụng ví cứng Ledger?

Bản thân ví Ledger không bị tấn công. Vấn đề là ứng dụng phần mềm giả mạo lừa người dùng nhập cụm từ phục hồi. Thiết bị Ledger của bạn vẫn an toàn miễn là bạn chỉ nhập cụm từ phục hồi trên thiết bị cứng và chỉ tải Ledger Live từ ledger.com, không dựa vào kết quả tìm kiếm trên app store.

Apple có chịu trách nhiệm pháp lý cho các khoản mất mát từ app giả mạo không?

ZachXBT và một số chuyên gia pháp lý cho rằng đây có thể là cơ sở cho một vụ kiện tập thể. Apple quảng bá App Store là chợ ứng dụng an toàn, hưởng lợi từ mô hình kiểm duyệt. Khi quy trình này thất bại và người dùng thiệt hại tài chính, Apple có thể bị cho là không thực hiện đầy đủ trách nhiệm bảo vệ. Hiện chưa có vụ kiện nào được khởi động, nhưng thiệt hại 9,5 triệu USD là căn cứ quan trọng.

Tổng kết

Ứng dụng Ledger Live giả trên App Store của Apple đã phơi bày một lỗ hổng mà nhiều người dùng crypto không nghĩ đến. Hơn 50 người đã tin tưởng quy trình kiểm duyệt, nhập cụm từ phục hồi vào một app mà họ tin là hợp lệ, và mất tổng cộng 9,5 triệu USD chỉ trong sáu ngày. Kẻ tấn công không cần kỹ năng công nghệ cao, chỉ cần xây dựng một bản sao, đăng tải với nhà phát hành ảo và chờ người dùng tự gửi khóa ví.

Điều quan trọng nhất cần ghi nhớ là: luôn kiểm tra kỹ tên nhà phát hành trước khi cài bất kỳ ứng dụng liên quan đến tiền điện tử nào. Tuyệt đối không nhập cụm từ phục hồi lên phần mềm. Và hãy xem lại độ tin cậy của tất cả các nguồn tải ứng dụng, ngay cả với nhãn "chính thức", vì nhầm lẫn có thể trả giá rất đắt. Số tiền 9,5 triệu USD bị chôn trong các ví dịch vụ trộn là minh chứng rõ ràng cho rủi ro từ giả định này.

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không phải là lời khuyên tài chính hoặc đầu tư. Giao dịch tiền điện tử tiềm ẩn nhiều rủi ro. Hãy tự nghiên cứu kỹ trước khi ra quyết định.