Kasus aplikasi Ledger palsu yang muncul di Apple App Store kembali menjadi pengingat keras bahwa dunia aset kripto masih sangat rentan terhadap penipuan digital. Kali ini, modusnya terlihat sederhana tetapi sangat berbahaya: pelaku membuat aplikasi Ledger palsu yang menyamar sebagai aplikasi resmi Ledger, lalu menipu pengguna agar memasukkan recovery phrase atau seed phrase mereka.
Bagi pengguna kripto, Ledger dikenal sebagai salah satu merek hardware wallet populer. Banyak orang memakainya untuk menyimpan Bitcoin dan aset digital lain dengan anggapan lebih aman dibanding menyimpan dana di exchange. Namun keamanan hardware wallet bisa runtuh seketika jika recovery phrase bocor. Itulah celah yang dimanfaatkan aplikasi palsu ini.
Salah satu korban yang paling banyak mendapat perhatian adalah Garrett Dutton, musisi yang dikenal dengan nama G. Love. Ia mengaku kehilangan sekitar 5,9 BTC, dengan nilai lebih dari US$400.000, setelah tidak sengaja mengunduh aplikasi Ledger palsu yang tampak seperti aplikasi Ledger resmi dari toko aplikasi Apple. Setelah mengikuti instruksi aplikasi dan memasukkan recovery phrase, Bitcoin miliknya langsung terkuras.
Bagaimana Aplikasi Palsu Ini Menipu Korban?
Modus aplikasi Ledger palsu seperti ini biasanya mengandalkan kepercayaan pengguna terhadap ekosistem resmi. Banyak orang merasa bahwa aplikasi yang tersedia di App Store pasti sudah aman karena melewati proses review. Sayangnya, kasus ini membuktikan bahwa asumsi tersebut tidak selalu benar.
Korban sedang menyiapkan perangkat baru dan mencari aplikasi Ledger. Di sinilah jebakan dimulai. Aplikasi Ledger palsu tersebut tampil seolah-olah merupakan aplikasi resmi untuk mengelola wallet. Nama, tampilan, dan instruksi di dalamnya dibuat cukup meyakinkan agar pengguna tidak curiga.
Bagian paling berbahaya adalah ketika aplikasi meminta recovery phrase 24 kata. Dalam dunia crypto, recovery phrase adalah kunci utama wallet. Siapa pun yang memiliki phrase tersebut dapat memulihkan wallet dan mengakses aset di dalamnya. Aplikasi resmi Ledger tidak akan meminta pengguna mengetik recovery phrase ke perangkat yang terhubung internet. Jika sebuah aplikasi meminta seed phrase, itu hampir pasti tanda bahaya.
Begitu korban memasukkan recovery phrase, pelaku langsung bisa mengambil alih wallet. Dana kemudian dipindahkan melalui serangkaian transaksi ke alamat lain, sehingga proses pelacakan menjadi lebih sulit.
Mengapa Recovery Phrase Sangat Sensitif?
Recovery phrase adalah fondasi keamanan wallet non-kustodial. Ia berfungsi seperti master key. Jika password akun email bocor, pengguna mungkin masih bisa mengganti password atau memulihkan akun. Namun jika recovery phrase crypto wallet bocor, aset bisa langsung dipindahkan, dan transaksi blockchain umumnya tidak dapat dibatalkan.
Inilah mengapa edukasi tentang recovery phrase sangat penting. Recovery phrase tidak boleh diketik di website, aplikasi, chat, email, formulir, atau file digital. Ia seharusnya disimpan secara offline, aman, dan hanya digunakan dalam kondisi benar-benar diperlukan melalui perangkat atau prosedur resmi.
Banyak pengguna merasa aman karena memakai hardware wallet. Namun hardware wallet tidak bisa melindungi pengguna jika mereka sendiri memberikan recovery phrase kepada pelaku. Keamanan crypto bukan hanya soal perangkat, tetapi juga kebiasaan pengguna. Kasus Ledger palsu ini menjadi contoh bahwa serangan paling efektif sering kali bukan meretas sistem secara teknis, melainkan menipu manusia agar menyerahkan kunci mereka sendiri.
Apple App Store Ikut Jadi Sorotan
Hal yang membuat kasus ini semakin ramai adalah lokasi aplikasi Ledger palsu tersebut ditemukan: Apple App Store atau Mac App Store. Apple selama ini dikenal memiliki ekosistem yang lebih tertutup dan proses kurasi aplikasi yang ketat. Karena itu, banyak pengguna merasa lebih percaya saat mengunduh aplikasi dari toko resmi Apple.
Namun tidak ada sistem review yang sempurna. Aplikasi berbahaya bisa saja lolos, terutama jika penyamarannya dibuat cukup meyakinkan atau perilaku jahatnya baru aktif setelah kondisi tertentu. Dalam kasus ini, aplikasi Ledger palsu berhasil memberi kesan legal dan profesional sampai akhirnya digunakan untuk mencuri recovery phrase.
Ini bukan berarti pengguna harus berhenti percaya sepenuhnya pada app store resmi. Namun pengguna perlu memahami bahwa app store bukan jaminan mutlak. Untuk aplikasi sensitif seperti wallet crypto, pengguna sebaiknya selalu mengunduh dari tautan resmi yang disediakan di website vendor, bukan hanya mengandalkan pencarian di toko aplikasi.
Kerugian Lebih dari US$400.000, Bahkan Bisa Lebih Besar
Kasus G. Love mendapat perhatian besar karena nilai kerugiannya sangat besar: lebih dari US$400.000 dalam Bitcoin. Ia menyebut dana tersebut sebagai bagian dari tabungan pensiun yang dikumpulkan selama bertahun-tahun. Kehilangan dana sebesar itu dalam hitungan menit tentu menjadi pukulan berat.
Namun kasus ini tidak berdiri sendiri. Beberapa laporan menyebut aplikasi palsu tersebut juga terkait dengan kerugian yang jauh lebih besar dari banyak korban lain, bahkan mencapai jutaan dolar dalam berbagai aset kripto seperti Bitcoin, Solana, XRP, USDT, dan lainnya.
Artinya, kasus ini bukan sekadar kesalahan satu orang. Ini adalah operasi phishing terorganisir yang memanfaatkan popularitas Ledger, kepercayaan terhadap app store, dan kurangnya kewaspadaan saat pengguna memindahkan atau menyiapkan wallet di perangkat baru.
Pelajaran Penting untuk Pengguna Crypto
Ada beberapa pelajaran besar dari kasus ini. Pertama, jangan pernah memasukkan recovery phrase ke aplikasi apa pun yang berjalan di komputer atau ponsel yang terhubung internet. Recovery phrase hanya boleh digunakan sesuai instruksi resmi dan idealnya tidak pernah diketik sembarangan.
Kedua, selalu unduh aplikasi wallet dari website resmi penyedia. Untuk Ledger, pengguna sebaiknya masuk ke situs resmi Ledger dan mengikuti tautan unduhan dari sana. Jangan mengandalkan hasil pencarian di App Store, Google, iklan, atau tautan dari media sosial.
