Sebuah aplikasi Ledger Live berbahaya untuk macOS yang sempat lolos dan tersedia di Apple App Store dilaporkan telah menguras aset mata uang kripto senilai kurang lebih USD 9,5 juta (sekitar Rp153 miliar) dari 50 korban hanya dalam waktu beberapa hari pada bulan ini.
Pengguna yang mengunduh aplikasi Ledger palsu tersebut dikelabui untuk memasukkan frasa pemulihan (seed/recovery phrases) dompet mereka. Kelengahan ini memberikan penyerang akses penuh ke dompet korban, memungkinkan mereka untuk mengirim aset digital ke alamat eksternal yang berada di bawah kendali peretas.
Jejak Pencurian dan Modus Pencucian Uang
Berdasarkan laporan dari detektif blockchain independen ZachXBT, para penyerang menggunakan sejumlah alamat dompet untuk menerima dana curian di berbagai rantai jaringan, termasuk Bitcoin, Ethereum, Tron, Solana, dan Ripple.
Dana hasil curian tersebut kemudian dicuci melalui lebih dari 150 alamat setoran di bursa kripto KuCoin. Alamat-alamat ini tertaut dengan layanan pencampur terpusat (centralized mixing service) bernama “AudiA6”, yang beroperasi mencuci aset kripto dengan membebankan biaya layanan yang tinggi.
Penelusuran ZachXBT mengungkap beberapa kerugian individual dengan angka yang fantastis:
- Tiga korban individu kehilangan dana mencapai tujuh digit, masing-masing sebesar USD 3,23 juta, USD 2,08 juta, dan USD 1,95 juta antara tanggal 8 hingga 11 April.
- Musisi Amerika, G. Love, mengonfirmasi di platform X bahwa ia juga kehilangan 5,9 BTC (bernilai sekitar USD 430 ribu saat ini) setelah mengunduh aplikasi tersebut. Kerugian ini juga telah dilacak dan dikonfirmasi oleh ZachXBT.
Manipulasi di App Store dan Pembekuan Akun
Menurut diskusi komunitas di Reddit, aplikasi palsu tersebut dikirimkan ke Apple App Store di bawah nama penerbit ‘Leva Heal Limited’, sebuah akun yang sama sekali tidak terafiliasi dengan tim pengembang Ledger yang asli. Untuk membuatnya tampak meyakinkan, aktor jahat juga memanipulasi riwayat pembaruan aplikasi, merilis versi baru setiap beberapa hari, dan secara masif melompat dari versi 1.0 ke 5.0 hanya dalam waktu dua minggu.
Menyusul rentetan laporan pengguna, Apple kini telah menghapus aplikasi palsu tersebut dari etalase App Store mereka, namun sayangnya tindakan tersebut dilakukan setelah 50 pengguna kehilangan total USD 9,5 juta.
Di sisi lain, KuCoin—bursa yang sebelumnya pernah dituduh melanggar undang-undang anti-pencucian uang dan didenda USD 300 juta di AS tahun lalu—mengumumkan bahwa mereka telah membekukan akun yang terlibat dalam skema terbaru ini. Namun, platform tersebut mencatat bahwa pembekuan hanya bersifat sementara hingga 20 April. Melewati tanggal tersebut, pembekuan hanya dapat diperpanjang melalui permintaan resmi dari pihak berwenang.
Celah Ketersediaan yang Dimanfaatkan Peretas
Insiden ini menjadi peringatan keras bagi para investor kripto. Sangat penting untuk dicatat bahwa Ledger hanya menyediakan aplikasi untuk perangkat Mac melalui situs web resmi mereka, dan tidak pernah mendistribusikannya melalui Apple App Store (di mana hanya versi kompatibel untuk iOS yang tersedia).
Aktor ancaman diketahui sangat gemar mengeksploitasi “celah ketersediaan” semacam ini. Pada tahun 2023 lalu, skema serupa bahkan menargetkan pengguna ekosistem Windows melalui Microsoft Store, yang berujung pada pencurian aset kripto senilai USD 768.000.