Neppe Ledger-app duikt op in App Store: Muzikant verliest Bitcoin-pensioen

Neppe crypto-apps glippen keer op keer door de controles van Apple en Google, en de gevolgen kunnen desastreus zijn. Nu is een Amerikaanse muzikant het slachtoffer geworden: hij verloor zijn volledige Bitcoinpensioen via een nagemaakte Ledger-app uit de App Store. En het had iedereen kunnen overkomen.

5,9 BTC ‘in een oogwenk’ verloren

Het gaat om Garrett Dutton, beter bekend als G. Love, de frontman van hiphop-bluesband G. Love & Special Sauce. Afgelopen zaterdag liet hij op socialmediaplatform X weten dat hij al zijn Bitcoin (BTC) “in een oogwenk” zag verdwijnen.

Dutton was zijn Ledger-hardwarewallet aan het overzetten naar een nieuwe computer en zocht in de App Store naar de officiële Ledger Live-app. Wat hij downloadde zag er legitiem uit, maar was het niet.

De nep-app vroeg hem om zijn seed phrase in te voeren, een reeks van 24 woorden die als hoofdsleutel dient voor een cryptowallet. Het invoeren van die zin is een standaardstap bij het herstellen van een wallet op een nieuw apparaat. Daarmee worden de privésleutels opnieuw gegenereerd waarmee de cryptomunten verstuurd kunnen worden. 

Maar in plaats van zijn wallet te herstellen, stuurde de app de woorden rechtstreeks door naar de aanvaller. Die kon daarmee dezelfde privésleutels genereren en de wallet in één keer leegtrekken.

Zijn volledige Bitcoinbezit van 5,9 BTC is verdwenen, wat volgens Dutton zijn pensioenfonds was. Tegen de huidige Bitcoin koers gaat het om een waarde van bijna 419.000 dollar. Dutton noemde het zijn pensioenfonds.

Blockchain-detective ZachXBT ontdekte dat de aanvaller de gestolen Bitcoin al had witgewassen via negen transacties naar stortingsadressen bij cryptobeurs KuCoin. Zijn overige cryptobezittingen bleven overigens onaangetast.

Nep-apps zijn plaag in app stores

De schuld ligt in dit geval niet bij Ledger zelf. Het probleem van nagemaakte walletapps in de App Store en Google Play Store is wijdverbreid en treft vrijwel alle bekende cryptomerken. Oplichters kopiëren het uiterlijk en de naam van populaire wallets en weten keer op keer door de controles van Apple en Google te glippen.

Vorig jaar ontdekte beveiligingsbedrijf Cyble meer dan twintig kwaadaardige crypto-apps in de Google Play Store die zich voordeden als wallets van onder meer SushiSwap, PancakeSwap en Hyperliquid.

De werkwijze is vrijwel altijd hetzelfde: de nep-app toont een vertrouwde interface en vraagt de gebruiker om een herstelzin in te voeren. Zonder ingewikkelde hacktechnieken krijgt de dader zo toegang tot de volledige inhoud van een wallet.

Ledger heeft eerder gewaarschuwd dat officiële appwinkels nepversies kunnen bevatten en raadt gebruikers aan de walletapp uitsluitend via de eigen website te downloaden.