Hamis Ledger app az Mac App Store-ban: 5,92 BTC eltűnt

Egy ismert amerikai zenész 2026. április 11-én elvesztette 10 évnyi Bitcoin (BTC) megtakarítását, pontosan 5,92 BTC-t (kb. 431 000 dollár), miután egy hamis Ledger Live alkalmazást töltött le az Apple App Store-ból. Egy neves on-chain nyomozó lenyomozta a lopott összeget: a pénzt 9 tranzakción keresztül a KuCoin tőzsdére mosták.

Garrett Dutton művésznevén G. Love, a G. Love & Special Sauce együttes frontembereként vált ismertté a blues-rap műfajban. Április 11-én, szombat délután azonban nem a zenéje, hanem a kriptovagyona került a címlapokra.

Dutton új Apple számítógépet vásárolt, majd az App Store-ban kereste a Ledger Live alkalmazást. Megtalálta, letöltötte, és a telepítés során begépelte a 24 szavas visszaállítási kulcsát (seed phrase).

Csakhogy az alkalmazás nem a Ledger SAS hivatalos terméke volt, hanem egy tökéletesen lemásolt hamisítvány. Pillanatok alatt kiürítették a tárcáját.

Dutton még aznap nyilvánosságra hozta az esetet az X platformon, ahol megosztotta a tranzakciós hash-t és egy Bitcoin-címet. Később megerősítette: kizárólag a Bitcoin-állománya veszett el, más kriptovalutáit nem érintette a lopás.

„Nagyon nehéz napom volt ma. Elvesztettem a nyugdíjalapom egy hack/scam miatt, amikor átállítottam a Ledgeremet az új számítógépemre. 2017 óta vagyok a kripto cirkuszban. Ma megleptek." G. Love az X-en

A legendás kriptó nyomozó megtalálta a pénz útját

Az on-chain nyomozás terén legendás hírű ZachXBT reagált G. Love posztjára. A blokklánc-adatok elemzésével megerősítette, hogy pontosan 5,92 BTC-t vontak ki az áldozat tárcájából, a tranzakció pillanatában ez 431 910 dollárt ért.

A lopott összeget 9 különálló tranzakción keresztül a KuCoin kriptotőzsde befizetési címeire mosták. ZachXBT az összes tranzakciós hash-t nyilvánosan közzétette:

• 6f5c8eb6b01774626f33527e0cb03c0d1860447acacd6079e69bf41b459bcf1f
• 9ee1288f941b2c3775ebd125eefeebdc713aa160bf2cf9d18661fd07f84ce891
• b1df626e8fb7e50e20d3ac8415411831fc48673320d0e8655be213571d8fd242
• 2eae0cda31b3f33d25256297848d6b932a5f4654f0e13688b63678a75929288e
• 57621c85a67f056804650c6e59e24d551a9345730830a87f8fc2c17b0a457747
• 0ffbb7213116ba15334a2d8ca026a72a16b6ae4c780507737991fa46c4f2e509
• 9b495fa1c41b149b12803d963856e683053e061c91c55ca1083b56ae56f71a0a
• 5717c22eb29aad5cdd0f9ad3113ceff74e31340da7ff1984e4caed2614008042
• e6343455b0b038e3d40cbb86dd184b40514a4e66292866edcadbfa74c968a6c6

Bármelyik hash ellenőrizhető a Mempool.space blokklánc felfedezőn.

A nyomozó megkérdőjelezte az Apple App Store ellenőrzési folyamatát is, hogyan kerülhetett be egy ilyen nyilvánvalóan kártékony alkalmazás a platformra?

Így működött a támadás lépésről lépésre

A támadás nem technikai értelemben vett hack, hanem social engineering: a támadók nem a Ledger hardver biztonsági chipjét törték fel, hanem az embert célozták.

1. Hamis alkalmazás az App Store-ban

Dutton az Apple App Store keresőjében rákeresett a „Ledger Live" névre. Talált egy találatot, amely első ránézésre hivatalosnak tűnt, a logó, a név, a leírás mind meggyőző volt.

Letöltötte és telepítette, nem sejtve, hogy a fejlesztő nem a Ledger SAS, hanem egy ismeretlen harmadik fél.

2. Hamis „kritikus hiba" üzenet

A telepítés után az alkalmazás egy meggyőző hibaüzenetet dobott fel: gyanús tevékenységre figyelmeztetett, majd arra kérte a felhasználót, hogy a probléma megoldásához írja be a 24 szavas visszaállítási kulcsát.

Dutton, mivel éppen az új gépén állította be a Ledgerét, teljesítette a kérést.

3. Azonnali kiürítés

A 24 szó beírásának pillanatában a támadók automatizált rendszere átvette az irányítást a tárca felett, és azonnal elutalta a teljes Bitcoin egyenleget. Visszafordíthatatlanul.

Miért kérdőjelezik meg az Apple felelősségét?

Az X platformon és a kriptós fórumokon azonnali felháborodás söpört végig. Rengetegen tették fel a kérdést: hogyan lehetséges, hogy egy ilyen egyértelműen kártékony szoftver átment az Apple szigorúnak hitt ellenőrzési folyamatán?

Az Apple nem adott ki hivatalos nyilatkozatot. Független megerősítés egyelőre nem áll rendelkezésre arról, hogy az alkalmazást eltávolították-e.

Az eset nem precedens nélküli. 2023 novemberében egy hasonló hamis „Ledger Live Web3" alkalmazáson keresztül összesen 768 000 dollárnyi kriptovalutát loptak el a Microsoft Store-ból, ebből 16,8 BTC-t 38 tranzakcióban.

A Moonlock Lab figyelmeztetései

A Moonlock Lab kiberbiztonsági kutatócsoport 2024 augusztusa óta követi nyomon a macOS-felhasználók Ledger Live alkalmazását célzó malware-kampányt.

A támadók módszerei drámai fejlődésen mentek keresztül: kezdetben csak jelszavakat tudtak kinyerni, ám 2025 márciusára már képesek voltak a teljes seed phrase megszerzésére.

Legalább 4 aktív kampányt azonosítottak. Az egyik legveszélyesebb változatot egy „Rodrigo" álnevű támadó fejlesztette ki (Odyssey stealer), amely eltávolítja az eredeti Ledger Live-ot, majd tökéletes másolatot telepít a helyére.

Az Atomic macOS Stealer (AMOS) nevű malware-t több mint 2800 kompromittált weboldalon találták meg.

„Egy éven belül megtanulták ellopni a seed phrase-eket és kiüríteni az áldozatok tárcáit." - Moonlock Lab, 2025

A Ledger hivatalos útmutatása

A Ledger évek óta kommunikálja, hogy a Ledger Live asztali változata kizárólag a hivatalos ledger.com weboldalról tölthető le.

Bár a vállalat jelen van az iOS App Store-ban és a Google Play-en a mobil alkalmazásával (fejlesztő: Ledger SAS), a Mac App Store-ban nincs hivatalos Ledger Live desktop alkalmazás.

A cég hangsúlyozza: a legális beállítási és helyreállítási folyamat minden lépése a fizikai hardvereszközön történik. Soha egyetlen Ledger-termék sem kéri a 24 szó begépelését szoftverben vagy weboldalon.

Védekezés, amit tudnod kell

Az ügy tanulsága egyszerű: a hardvertárca önmagában nem garantálja a biztonságot, ha a tulajdonos elárulja a visszaállítási kulcsot.

• A Ledger Live asztali szoftvert kizárólag a ledger.com oldalról töltsd le. Mobil verzió esetén ellenőrizd, hogy a fejlesztő „Ledger SAS".

• Bármilyen felugró ablak, amely a 24 szavas seed phrase-t kéri, kivétel nélkül csalás.

• Telepítés előtt mindig ellenőrizd a fejlesztő nevét. Lehetőség szerint ellenőrizd a telepítőfájl SHA-256 ellenőrzőösszegét is.

• Kompromittálás gyanúja esetén azonnal hozz létre új tárcát egy tiszta eszközön, mozgasd át a maradék vagyont, és értesítsd a tőzsdéket.

Nem egyedi eset

Az ügy egy aggasztó tendenciába illeszkedik. 2026 első negyedévében több nagyszabású social engineering-alapú Bitcoin-lopás történt.

Januárban egy 282 millió dolláros BTC- és Litecoin lopást tártak fel, amelyet szintén social engineeringgel hajtottak végre egy hardvertárca tulajdonos ellen.

Április elején pedig egy észak-koreai IT dolgozói hálózat belső fizetési szerverét leplezték le, amelyen havi egymillió dolláros kriptóáramlás zajlott.

A minta azonos: a támadók nem a blokklánc protokollt törik fel. Az embert célozzák, meggyőzéssel, megtévesztéssel, hamis felületekkel.

Ha további biztonságtechnikai tippeket olvasnál:

Hogyan lopják el a kriptódat? A 6 leggyakoribb támadási módszer 

A kriptód nincs biztonságban, 4 alattomos trükk amiről nem beszélnek