Ứng dụng giả Ledger Live trên App Store đánh cắp 9,5 triệu đô la tiền mã hóa của hơn 50 nạn nhân

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), một ứng dụng *“레저 라이브(Ledger Live)”* giả mạo trên **từ**App Store**từ** đã gây thiệt hại khoảng **từ**9,5 triệu đô la Mỹ**từ** (khoảng 139,8 tỉ đồng) tiền mã hóa cho hơn 50 nạn nhân chỉ trong vòng một tuần, từ ngày 7 đến 13 tháng 4. Vụ việc nhắm vào người dùng nhiều mạng lưới lớn như **từ**Bitcoin(BTC)**từ**, **từ**Ethereum(ETH)**từ**, **từ**Solana(SOL)**từ**, **từ**Tron(TRX)**từ** và làm dấy lên lo ngại về mức độ an toàn của các kho ứng dụng chính thức.

Theo nhà điều tra on-chain ZackXBT (잭XBT) chia sẻ trên Telegram ngày 13 (giờ địa phương), số tài sản bị đánh cắp đã được chuyển qua hơn 150 địa chỉ nạp của sàn giao dịch **từ**KuCoin**từ** để “rửa”, trước khi tiếp tục được luân chuyển tới một dịch vụ trộn (mixer) tập trung có tên “OD A6” (오디 A6). Hiện tại, đây mới là kết quả điều tra độc lập; cả **từ**Apple**từ** lẫn KuCoin vẫn chưa đưa ra bình luận chính thức về vụ việc, cũng như chưa xác nhận con số thiệt hại và số nạn nhân.

Ba vụ mất tiền lớn nhất đã được ZackXBT thống kê riêng. Một người dùng cho biết bị đánh cắp tổng cộng khoảng 1,95 triệu đô la Mỹ dưới dạng **từ**Bitcoin(BTC)**từ**, **từ**stETH**từ** (staking Ether) và **từ**Ethereum(ETH)**từ**. Một nạn nhân khác bị rút mất khoảng 3,23 triệu đô la Mỹ **từ**Tether(USDT)**từ** ngày 9 tháng 4, trong khi ngày 11 tháng 4 cũng ghi nhận thiệt hại khoảng 2 triệu đô la Mỹ **từ**USD Coin(USDC)**từ**.

Trả lời Cointelegraph, giám đốc công nghệ (CTO) của **từ**Ledger**từ**, Charles Guillemet (찰스 귀예메), nhấn mạnh rằng ví cứng này “không bao giờ yêu cầu người dùng nhập cụm từ khôi phục 24 từ”. Ông cảnh báo thêm: “Không thể hoàn toàn tin tưởng vào trình duyệt, kho ứng dụng hay phần mềm trên máy tính”. *bình luận* Những chia sẻ này cho thấy ngay cả môi trường trông có vẻ “chính thống” cũng không bảo đảm an toàn nếu người dùng không nắm rõ quy trình bảo mật cơ bản. *bình luận*

Vụ tấn công bằng ứng dụng giả mạo này xảy ra chỉ một ngày sau khi một trường hợp tương tự được công bố. Nhạc sĩ Garrett Dutton, được biết tới với nghệ danh “G. Love”, cho biết ông đã tải nhầm một ứng dụng độc hại từ **từ**App Store**từ**, nhập cụm từ hạt giống (seed phrase) và sau đó mất khoảng 420.000 đô la Mỹ tiền **từ**Bitcoin(BTC)**từ**. *bình luận* Hai vụ việc liên tiếp cho thấy các kênh phân phối ứng dụng chính thức như App Store hoàn toàn có thể trở thành mục tiêu tấn công, buộc cả nhà cung cấp lẫn người dùng tiền mã hóa phải nâng cao cảnh giác. Về phía người dùng, nguyên tắc “không bao giờ nhập cụm từ khôi phục/seed phrase vào bất cứ ứng dụng, website hay trình duyệt nào” tiếp tục là lá chắn quan trọng nhất trước những vụ lừa đảo kiểu này. *bình luận*

Trong bối cảnh các vụ tấn công nhắm vào **từ**ví cứng Ledger**từ** và các ứng dụng ví tiền mã hóa ngày càng tinh vi, cộng đồng được khuyến nghị luôn tải ứng dụng từ trang chính thức, đối chiếu kỹ thông tin nhà phát triển và tuyệt đối không chia sẻ cụm từ khôi phục cho bất kỳ bên thứ ba nào. Việc nâng cao nhận thức bảo mật là yếu tố then chốt để hạn chế những thiệt hại như 9,5 triệu đô la Mỹ vừa xảy ra.