$9.5 miliona stracone w tydzień: Jak fałszywa aplikacja Ledger Live określa dziesiątki użytkowników App Store?

W ciągu zaledwie siedmiu dni (od 7 do 13 kwietnia 2026) ponad 50 osób straciło

w sumie 9,5 miliona dolarów

w kryptowalutach. Nie padły ofiarą skomplikowanego exploita smart kontraktu ani ataku zero-day na protokół DeFi. Złodzieje nie musieli nawet łamać zabezpieczeń hardware’owych portfeli Ledger. Wszystko wydarzyło się…

w oficjalnym sklepie Apple App Store (macOS).

Fałszywa aplikacja podszywająca się pod Ledger Live przeszła proces recenzji Apple, pojawiła się w wynikach wyszukiwania i wyglądała identycznie jak oryginalna. Użytkownicy, którzy chcieli połączyć swój sprzętowy portfel z nowym komputerem lub po prostu „zsynchronizować” portfel, wpisywali 24-słowa seed phrase, i w ciągu sekund tracili wszystko.

Jak dokładnie działał scam?

Aplikacja nosiła nazwę „Ledger Live”

i została opublikowana przez nieznanego developera „Leva Heal” (żadnego związku

z Ledger SAS). Po instalacji prosiła

o klasyczny flow „restore wallet” lub „connect existing wallet”.

Użytkownik, wierząc, że to standardowa procedura, wprowadzał frazę odzyskiwania. W tym momencie atakujący uzyskiwali pełny dostęp do wszystkich portfeli wygenerowanych z tego seeda: Bitcoin, Ethereum, Solana, Tron, XRP i stablecoiny.

Największe straty:

- Jeden z poszkodowanych (muzyk, który gromadził oszczędności przez dekadę) stracił 5,92 BTC w jednej chwili.

- Trzech największych ofiar straciło siedmiocyfrowe kwoty każdy.

- Środki były natychmiast kierowane na ponad 150 adresów depozytowych na giełdzie KuCoin, a następnie prane przez scentralizowany mikser AudiA6.

On-chain detektyw ZachXBT błyskawicznie prześledził transakcje i ujawnił schemat. Apple usunęło fałszywą aplikację 13 kwietnia, ale szkoda była już nieodwracalna.

Dlaczego to się mogło wydarzyć?

Ledger hardware sam w sobie nie został zhakowany. Secure element w urządzeniu działał dokładnie tak, jak powinien. Problemem nie był chip, tylko ludzki czynnik i zaufanie do ekosystemu Apple.

App Store od lat buduje wrażenie bezpieczeństwa, a użytkownicy zakładają, że skoro aplikacja przeszła recenzję, musi być legit. Tymczasem proces weryfikacji Apple sprawdza malware, naruszenia API

i politykę, ale nie jest w stanie ocenić, czy interfejs użytkownika jest zaprojektowany tak, by wyłudzić frazę seed.

To nie pierwszy taki przypadek.

W 2023 roku podobna podróbka Ledger Live na Microsoft Store kosztowała użytkowników około 600 tys. dolarów. Schemat jest zawsze ten sam: wiarygodny wygląd + prośba o „połączenie portfela”.

Największa słabość kryptowalut: my sami

Każdy post mortem w branży kończy się

w tym samym miejscu - najsłabszym ogniwem jest człowiek. Atakujący wiedzą, że nie przebiją hardware’owego portfela, więc atakują moment, w którym użytkownik musi wpisać seed. Fałszywa aplikacja nie obiecywała zysków 1000% ani nie prosiła

o transfer na „bezpieczny adres”. Po prostu wyglądała jak produkt, któremu ufaliśmy od lat.

To klasyczny social engineering na najwyższym poziomie celuje w doświadczonych użytkowników (niektórzy byli w krypto od 2017 roku).

Co robić, żeby nie paść ofiarą?

Oto żelazne zasady, które powinny stać się nawykiem każdego posiadacza kryptowalut:

1. Nigdy nie wpisuj frazy seed do żadnej aplikacji, strony ani programu - nawet jeśli wygląda na „oficjalny setup”. Prawdziwy Ledger nigdy nie poprosi Cię o 24 słowa

w aplikacji desktopowej w ten sposób.

2. Pobieraj oprogramowanie wyłącznie

z oficjalnej strony producenta (ledger.com). Nie szukaj w App Store, Google Play ani nigdzie indziej. Wpisz adres ręcznie i dodaj do zakładek.

3. Weryfikuj wszystko dwa razy. Jeśli coś wydaje Ci się podejrzane zatrzymaj się, sprawdź na oficjalnym supportcie Ledger

i w zweryfikowanych grupach społeczności.

4. Trzymaj seed offline. Papier się niszczy, metalowe płyty (steel backups) są lepsze. Jeszcze lepiej rozważ rozwiązania, które minimalizują moment, w którym seed

w ogóle musi być wprowadzany.

5. Używaj wielu portfeli - nie trzymaj wszystkich środków w jednym miejscu. Największe kwoty powinny leżeć na cold storage bez stałego połączenia

z internetem.

Podsumowanie: lekcja na przyszłość

Ten atak pokazuje, że nawet największe marki i najbardziej „bezpieczne” platformy (jak App Store) nie zwalniają nas

z odpowiedzialności. Samodzielna custodia (self-custody) to wolność, ale też ciężar, nikt nie będzie pilnował Twoich kluczy za Ciebie.

Hardware wallety są świetne, ale fraza odzyskiwania to wciąż master key całego systemu. Dopóki nie wymyślimy lepszego, mniej podatnego modelu backupu, takie ataki będą się powtarzać.

Bądźcie czujni. Sprawdzajcie wszystko.

I pamiętajcie: jeśli aplikacja prosi o seed to nie jest Ledger. To pułapka.

Co mogę polecić?

Ja osobiście od jakiegoś czasu korzystam

z portfela Tangem który seed phrase przechowuje w chipie na karcie, i tam cały czas zostają. Porfel można zamówić

w postaci kart podobnych do kart płatniczych czy kredytowych. Można w zamówić 2 lub ja oosbicie sugeruję opcję

z trzema kartami. Pierwsza karta jest główna, a dwie pozostałe są backupami.

Jak wspomiałem wcześniej klucze prywatne nigdy nie opuszczają karty Tangem są przechowywane wyłącznie na bezpiecznym chipie karty. Tangem nie ma do nich dostępu i nie przechowuje ich na swoich serwerach.

Wysyłanie i odbieranie kryptowalut nie wymaga serwerów Tangem. Transakcja jest podpisana lokalnie na karcie (po przyłożeniu jej do telefonu i wprowadzeniu hasła), a następnie przesyłana bezpośrednio do blockchaina za pośrednictwem publicznie dostępnych interfejsów API różnych dostawców (aplikacja zna 3-5 interfejsów API na sieć

i automatycznie przełącza się, gdy któryś

z nich przestanie działać).

Saldo kryptowaluty jest zawsze widoczne

i poprawne, ponieważ pochodzi bezpośrednio z blockchaina.

Co przestanie działać (ale nie zablokuje portfela):

Synchronizacja cen (wartość portfela

w USD/EUR itp.) → zamiast kwot pojawią się myślniki (---).

Automatyczna synchronizacja listy dodanych tokenów na różnych urządzeniach.

Weryfikacja autentyczności karty (przy pierwszym uruchomieniu).

Co się stanie, jeśli aplikacja nie będzie miała sklepu z aplikacjami?

Aplikacja Tangem jest w pełni open source i dostępna na GitHubie.

Na Androidzie plik APK można pobrać bezpośrednio ze strony tangem.com lub z repozytorium GitHub (nawet jeśli serwery firmy zostaną zniszczone).

GitHub udostępnia bardzo odporne kopie zapasowe, w tym Arctic Code Vault archiwum kodu znajdujące się 250 metrów pod ziemią w kopalni na Svalbardzie

w Arktyce.

Na iOS jest to trudniejsze (musisz umieć samodzielnie zbudować aplikację lub mieć dostęp do TestFlight), ale w ostateczności wystarczy dowolna inna aplikacja zgodna

z Tangem, stworzona z wykorzystaniem open source.

Jest też opcja w formie obrączki na palec (ring), bardzo praktyczne ponieważ nie rozstajemy się ze swoim porflelem nawet na chwilę.

Jeśli ten artykuł jest pomocny udostępnij go proszę. Dzięki temu inne osoby nie nabiorą się na oszustwa.

Przy zakupie skorzystaj z mojego partnerskiego linku.

https://tangem.com/invite/IMLOVINGCRYPTO

Zamiawiając family pack oszczędzasz na koszcie przesyłki.

Stay safe i hodl z głową!

Jeśli macie własne doświadczenia

z podobnymi scamami piszcie

w komentarzach. Razem łatwiej unikać pułapek.

Chcesz być na bieżąco z rynkiem kryptowalut?

Dołącz do bezpłatnej grupy telegramowej t.me/imlovingcrypto369