Aplikasi Ledger Live palsu yang sempat lolos ke Apple App Store dikaitkan dengan pencurian kripto sekitar US$9,5 juta dari lebih dari 50 korban dalam periode 7–13 April 2026. Temuan ZachXBT menunjukkan korban tersebar di Bitcoin, jaringan EVM, Tron, Solana, dan XRP Ledger.
Tiga kerugian terbesar juga sudah menembus level tujuh digit. Salah satu korban kehilangan US$3,23 juta dalam USDT, korban lain kehilangan US$2,079 juta dalam USDC, sementara korban lainnya kehilangan sekitar US$1,95 juta dalam gabungan 20,64 BTC, 211 stETH, dan 70 ETH.
Modus Lama, Dampak Besar
Skemanya tetap klasik. User diarahkan ke aplikasi yang meniru Ledger Live lalu diminta memasukkan recovery phrase. Setelah seed phrase diserahkan, pelaku langsung mendapat akses penuh ke wallet dan bisa menguras aset tanpa perlu menyentuh hardware wallet korban.
Risiko utama dalam kasus seperti ini bukan ada pada perangkat Ledger, melainkan pada social engineering yang memanfaatkan rasa percaya user terhadap kanal distribusi resmi. Tampilan aplikasi yang terlihat sah membuat banyak korban lengah dan melewati verifikasi tambahan.
Ledger juga sudah berulang kali mengingatkan bahwa perusahaan tidak pernah meminta 24-word recovery phrase. Recovery phrase tidak boleh dimasukkan ke aplikasi, website, browser extension, atau form digital apa pun.
Aliran Dana Curian Soroti Salah Satu Exchange
Penelusuran ZachXBT menyebut dana hasil pencurian dipindahkan lewat lebih dari 150 alamat deposit KuCoin yang terhubung dengan AudiA6. Layanan itu disebut sebagai centralized mixing service yang dipakai untuk mencuci dana ilegal dengan biaya tinggi.
Nama KuCoin ikut terseret karena exchange tersebut beberapa kali muncul dalam pembahasan arus dana ilegal. Sorotan ini datang saat platform itu juga masih menghadapi tekanan kepatuhan dari berbagai otoritas.
Departemen Kehakiman AS pada Januari 2025 mengumumkan bahwa KuCoin mengaku bersalah atas pelanggaran terkait operasi money transmission tanpa lisensi dan setuju membayar penalti hampir US$300 juta. Otoritas Austria lalu melarang KuCoin EU mengambil bisnis baru dan onboarding user baru pada Februari 2026 sampai fungsi AML dan kepatuhan dinilai memadai.
Ancaman Self-Custody Makin Jelas
Kasus ini menegaskan bahwa titik rawan self-custody tidak berhenti pada private key atau perangkat keras. Jalur distribusi software kini menjadi area serangan yang sama berbahayanya, apalagi saat aplikasi palsu bisa masuk ke platform besar seperti App Store.
Pelajaran utamanya tetap sederhana: recovery phrase tidak boleh dimasukkan ke aplikasi apa pun, termasuk yang terlihat resmi. Verifikasi sumber unduhan lewat situs resmi harus jadi langkah dasar sebelum instalasi.
Disclaimer: Artikel ini disusun untuk tujuan informasi dan edukasi. Isi artikel bukan merupakan nasihat keuangan, investasi, hukum, atau rekomendasi transaksi. Selalu lakukan riset mandiri dan pahami risiko sebelum mengambil keputusan.
Nikmati token paling trending, airdrop setiap hari, biaya yang sangat rendah, dan likuiditas yang komprehensif
Daftar
App Store
Google Play
Android APK