Ứng dụng giả Ledger Live trên App Store của Apple đánh cắp hơn 9,5 triệu USD tiền mã hóa, nguy cơ kiện tập thể nhắm vào Apple

Theo CoinDesk đưa tin ngày 13 (giờ địa phương), một ứng dụng *giả mạo* “Ledger Live” đã được phân phối qua **từ**App Store của Apple**từ**, gây thiệt hại ít nhất **từ**9,5 triệu đô la Mỹ**từ** (khoảng 139,84 tỷ đồng) tiền mã hóa. Nhiều nạn nhân cho biết toàn bộ **từ**tiền mã hóa**từ** họ tích lũy cho kế hoạch nghỉ hưu đã “bốc hơi” chỉ sau vài phút.

Vụ việc diễn ra trong khoảng thời gian từ ngày 7 đến ngày 13 tháng 4, với hơn 50 người dùng bị ảnh hưởng trên nhiều mạng lưới khác nhau, bao gồm Bitcoin(BTC), Ethereum(ETH), Tron(TRX), Solana(SOL) và Ripple(XRP). Nạn nhân đã tải và cài đặt ứng dụng “Ledger Live” giả mạo, nhầm tưởng đây là ứng dụng chính thức, sau đó nhập **từ**cụm từ khôi phục**từ** (recovery phrase) vào ứng dụng. Thao tác này vô tình trao toàn quyền truy cập ví cho kẻ tấn công, tạo điều kiện để chúng rút sạch tài sản.

Một trường hợp điển hình là người dùng X có tên “@glove”. Trong quá trình thiết lập máy tính mới, anh đã cài đặt ứng dụng “Ledger Live” giả mạo và sau đó mất khoảng 5,9 BTC, tương đương khoảng 869 triệu đồng. Theo lời anh, đây là toàn bộ số tiền tích lũy trong 10 năm, được dành làm **từ**quỹ hưu trí**từ**. Anh chia sẻ: “Tôi đã mất toàn bộ tiền nghỉ hưu chỉ trong một khoảnh khắc”.

Chuyên gia phân tích chuỗi khối ZachXBT (ZachXBT) đã lần theo giao dịch và phát hiện 5,92 BTC bị đánh cắp đã nhanh chóng được chuyển qua nhiều ví trung gian trước khi đổ vào một địa chỉ nạp tiền sàn KuCoin. Mô hình di chuyển tài sản này trùng khớp với **từ**mô thức rửa tiền đa bước**từ** được quan sát trong toàn bộ chiến dịch, cho thấy đây không phải là vụ tấn công đơn lẻ mà là hoạt động được tổ chức bài bản.

bình luận: Việc kẻ xấu tận dụng niềm tin vào **từ**App Store của Apple**từ** và giao diện quen thuộc của “Ledger Live” cho thấy người dùng có thể dễ dàng mất cảnh giác khi cho rằng “ứng dụng trên kho chính thức thì chắc chắn an toàn”. Đây chính là khoảng trống mà các chiến dịch *phishing* nhắm tới.

Trong các phân tích tiếp theo, các chuyên gia bảo mật cho rằng chiến dịch này là một cuộc tấn công có tổ chức, mở rộng trên nhiều chuỗi (multichain) thay vì một vụ lừa đảo nhỏ lẻ. Ba giao dịch thiệt hại lớn nhất được ghi nhận lần lượt có giá trị khoảng 3,23 triệu đô la Mỹ (khoảng 47,54 tỷ đồng, chủ yếu là USDT), 2,08 triệu đô la Mỹ (khoảng 30,62 tỷ đồng, USDC) và 1,95 triệu đô la Mỹ (khoảng 28,7 tỷ đồng, bao gồm BTC, ETH và stETH).

Cách thức tấn công mang tính “kinh điển” trong giới lừa đảo **từ**tiền mã hóa**từ**: kẻ xấu dùng kỹ thuật **từ**xã hội học (social engineering)**từ** để thuyết phục người dùng tự tay nhập cụm từ khôi phục. Một khi chuỗi 12 hoặc 24 từ này bị lộ, kẻ tấn công có thể tái hiện ví trên thiết bị của chúng và rút toàn bộ tài sản. Không có cơ chế hoàn tác, không có “nút quay lại” trên chuỗi khối; tài sản sau đó được chuyển sang các ví bên ngoài và tiếp tục phân tán trên nhiều mạng lưới để xóa dấu vết.

bình luận: Mô hình tấn công không mới, nhưng việc kết hợp “ứng dụng giả trên kho chính thức + giao diện giống hệt + yêu cầu nhập seed phrase” vẫn đang tỏ ra cực kỳ hiệu quả, đặc biệt với người dùng lâu năm nhưng chủ quan, tin rằng mình “biết hết rủi ro rồi”.

Theo dữ liệu on-chain, số tiền **từ**tiền mã hóa**từ** bị đánh cắp đã được phân tán qua hơn 150 địa chỉ nạp tiền khác nhau trên sàn KuCoin, trước khi tiếp tục được luân chuyển sang các dịch vụ trộn tiền. Điều tra cho thấy nhiều dòng tiền có liên quan đến một dịch vụ trộn tập trung (centralized mixing service) được cộng đồng gọi là “AudiA6”. Dịch vụ này bị nghi ngờ thu phí cao để cung cấp “giải pháp ẩn danh” cho các dòng tiền bẩn, khiến quá trình truy vết trở nên khó khăn hơn.

KuCoin hiện cũng đang trong tâm điểm chú ý của cơ quan quản lý toàn cầu. Sàn giao dịch này từng bị phạt hơn 300 triệu đô la Mỹ vào năm 2025 vì vi phạm quy định **từ**chống rửa tiền (AML)**từ**, và từ tháng 2 năm 2026 đã bị giới chức Áo chặn tiếp nhận người dùng mới đến từ **từ**Liên minh châu Âu (EU)**từ**. Việc các địa chỉ KuCoin tiếp tục xuất hiện trong các vụ rửa tiền quy mô lớn đặt ra câu hỏi về hiệu quả của hệ thống giám sát giao dịch và quy trình “biết khách hàng” (KYC) của sàn.

bình luận: Dù chưa có kết luận KuCoin “cố ý dung túng” các dòng tiền bất hợp pháp, việc sàn này liên tục bị nêu tên trong các vụ việc lớn càng khiến áp lực pháp lý gia tăng, đồng thời có thể kéo theo làn sóng siết chặt quy định đối với các sàn giao dịch **từ**tiền mã hóa**từ** khác trên toàn cầu.

Về phía Apple(AAPL), tập đoàn này đã nhanh chóng gỡ bỏ ứng dụng “Ledger Live” giả mạo khỏi App Store sau khi vụ việc bị phát hiện. Tuy nhiên, nhiều câu hỏi vẫn chưa có lời giải, bao gồm: ứng dụng này đã vượt qua quy trình kiểm duyệt của App Store như thế nào, đã tồn tại và hoạt động trong bao lâu, và trong suốt thời gian đó đã có bao nhiêu người dùng thực sự bị ảnh hưởng.

Nhà phân tích ZachXBT nhấn mạnh rằng quy mô và tính chất của vụ việc có thể dẫn tới **từ**kiện tập thể (class action)**từ** chống lại Apple. Trọng tâm tranh luận pháp lý có thể xoay quanh việc liệu Apple có phải chịu trách nhiệm một phần khi để ứng dụng lừa đảo phát hành trên **từ**nền tảng phân phối chính thức**từ** của mình hay không, đặc biệt khi người dùng tin tưởng rằng mọi ứng dụng trên App Store đã được kiểm tra độ an toàn.

bình luận: Nếu một vụ kiện tập thể thực sự diễn ra và nguyên đơn thắng kiện, điều này có thể tạo tiền lệ pháp lý mới, buộc các kho ứng dụng lớn – không chỉ Apple mà cả Google – phải chịu trách nhiệm cao hơn với các ứng dụng liên quan đến **từ**tiền mã hóa**từ**, đồng thời siết chặt quy trình duyệt ứng dụng ví và sàn giao dịch.

Vụ lừa đảo “Ledger Live giả” lần này một lần nữa phơi bày **từ**rủi ro bảo mật**từ** đang lan tràn trong thị trường **từ**tiền mã hóa**từ**. Trong năm 2025, tổng thiệt hại do hack và lừa đảo liên quan đến tài sản số được ước tính vào khoảng 17 tỷ đô la Mỹ, trong đó một phần lớn đến từ các chiến dịch **từ**phishing**từ** và tấn công xã hội học tương tự vụ việc này.

Về phía người dùng, hậu quả gần như không thể cứu vãn. Một nạn nhân chia sẻ: “Đó là số tiền tôi dành dụm suốt 10 năm. Tôi chỉ muốn mọi người cảnh giác hơn rất nhiều”. Thông điệp cốt lõi được nhắc lại là: **không bao giờ nhập cụm từ khôi phục vào bất kỳ ứng dụng hay website nào, kể cả khi trông có vẻ “chính thức”**, và luôn xác minh kỹ nguồn tải ứng dụng từ trang chủ dự án, thay vì chỉ tìm kiếm trên kho ứng dụng.

bình luận: Trong bối cảnh các chiến dịch phishing ngày càng tinh vi, việc bảo vệ **từ**tiền mã hóa**từ** không chỉ phụ thuộc vào công nghệ ví cứng, ví mềm hay giải pháp bảo mật on-chain, mà còn nằm ở “lớp cuối cùng” – nhận thức và thói quen an toàn của chính người dùng.