Aplicação falsa da Ledger surge na App Store da Apple, músico 5,9 bitcoins de poupanças reformadas roubados

O músico norte-americano G. Love (nome de nascimento Garrett Dutton) revelou a 11 de abril que, após descarregar uma aplicação Ledger Live falsificada na Apple Mac App Store e introduzir, conforme as instruções, uma frase-semente de 24 palavras, perdeu imediatamente 5,92 bitcoins, que ao preço de mercado correspondem a mais de 424.000 dólares.

O que aconteceu: um erro fatal ao transferir de dispositivo

G. Love afirma que o incidente ocorreu durante o processo de migração da sua carteira de hardware Ledger para um novo computador Apple. Depois de procurar “ Ledger Live ” na Mac App Store, descarregou uma aplicação falsificada cujo aspeto e interface imitavam de forma altamente fiel os originais, e introduziu a frase-semente completa de 24 palavras conforme solicitado. Após a submissão da frase-semente, o atacante concluiu imediatamente a transferência de ativos e os 5,92 bitcoins desapareceram em poucos minutos.

G. Love afirmou na publicação: “Esta é a minha poupança de reforma, construída ao longo de dez anos com muito esforço. Se estiverem fora de casa, tenham de ter cuidado.”

O problema central deste caso é que a aplicação falsificada conseguiu passar a verificação de submissão da App Store da Apple, apresentando-se aos utilizadores nos canais oficiais com um nome legítimo; o endosso de confiança da plataforma da Apple tornou-se a maior alavanca para os burlões explorarem.

ZachXBT faz o rastreio: o destino dos fundos parece ser um CEX, a possibilidade de recuperação é muito baixa

A análise on-chain do ZachXBT confirmou que os 5,92 bitcoins roubados passaram por uma carteira identificada como um endereço de depósito de um CEX e indicou que a distribuição de muitos endereços de depósito dispersos sugere que o ladrão terá feito uma segunda transferência de fundos através de uma bolsa de comércio instantâneo, aumentando ainda mais a dificuldade do rastreio.

O ZachXBT criticou claramente o CEX, afirmando que “apenas demonstra uma postura de conformidade quando isso serve os seus próprios interesses”, e acrescentou que, após obter a licença MiCA da União Europeia em novembro de 2025, a licença foi revogada apenas cerca de três meses depois, em fevereiro de 2026, o que indica a existência de problemas profundos de conformidade. Ao mesmo tempo, assinalou que serviços ilegais continuam a transferir fundos através de corretores e contas pessoais na plataforma desse CEX, e que, até ao momento, as entidades reguladoras praticamente não tomaram qualquer ação.

Aviso de segurança: regras essenciais de proteção da frase-semente

Beau, responsável de segurança da Pudgy Penguins, emitiu um aviso urgente após a divulgação do incidente, sublinhando que qualquer utilizador de carteira de hardware deve seguir os seguintes princípios de segurança:

Regras essenciais para proteger a frase-semente

Nunca introduzir a frase-semente em dispositivos ligados à rede: independentemente de ser um portátil ou um telemóvel, um ambiente com ligação à internet não deve ser usado como cenário de introdução da frase-semente

Descarregar ou atualizar pedidos como padrão é suspeito: antes de verificar por conta própria, todas as mensagens que incentivem os utilizadores a descarregar ou atualizar software de carteira devem ser tratadas como burlas

Canais de burla diversificados: aplicações de carteira falsificadas distribuem-se através de correio eletrónico, publicidade falsa e correio físico; a loja de aplicações oficial também não é absolutamente segura

Ir diretamente às fontes oficiais: para instalar o Ledger Live deve dirigir-se diretamente ao site oficial (ledger.com), e não procurar através da App Store

Perguntas frequentes

Porque é que a App Store da Apple mostra uma aplicação Ledger falsificada?

As aplicações falsificadas aproveitam falhas no mecanismo de validação da loja de aplicações para passar a revisão de publicação com nomes e interfaces altamente imitados. Para utilizadores comuns, é difícil distinguir a veracidade apenas pela página da loja; ao instalar o Ledger Live, recomenda-se que se descarregue diretamente a partir do site oficial da Ledger (ledger.com), contornando totalmente a fase de pesquisa na app store.

Porque é que introduzir a frase-semente faz com que os bitcoins sejam roubados imediatamente?

A frase-semente é a chave-mestra completa que reconstitui a carteira de hardware. Qualquer pessoa que detenha a frase-semente de 24 palavras pode reconstruir a carteira em qualquer dispositivo e controlar todos os ativos. O objetivo central de uma aplicação falsificada é induzir o utilizador a introduzir a frase-semente; assim que o servidor de back-end a recebe, executa a transferência de ativos de imediato, concluindo todo o processo em poucos minutos.

Há possibilidade de recuperar os bitcoins roubados?

De acordo com a análise on-chain do ZachXBT, os fundos já foram para endereços de depósito que parecem ser de um CEX e podem ter sido transferidos uma segunda vez através de uma bolsa de comércio instantâneo. O ZachXBT afirmou claramente que não acredita que um CEX vá ajudar a recuperar os fundos; considerando as controvérsias de conformidade recentes em que a bolsa teve a licença MiCA revogada, a possibilidade real de recuperação dos ativos é extremamente baixa.