แอป Ledger Live ปลอมระบาดบน App Store! กวาดเงินเหยื่อไปกว่า 304 ล้านบาท
ระหว่างวันที่ 7–13 เมษายน 2568 แอปพลิเคชันปลอมที่แอบอ้างเป็น Ledger Live (แอปจัดการกระเป๋าเงินฮาร์ดแวร์จาก Ledger) ถูกพบวางขายบน Apple App Store และขโมยสินทรัพย์คริปโตรวมมูลค่าประมาณ 9.5 ล้านดอลลาร์สหรัฐ (ราว 304 ล้านบาท) จากเหยื่อกว่า 50 ราย นักสืบออนเชน ZachXBT (นักวิจัยอิสระด้านความปลอดภัยบน Blockchain ที่มีชื่อเสียงระดับโลก) เป็นผู้เปิดโปงและตามรอยเส้นทางเงินที่ถูกโจรกรรมทั้งหมด
🎯 7 วัน ดูด 9.5 ล้านดอลลาร์ — ไทม์ไลน์ที่น่าตกใจ
ZachXBT เปิดเผยผ่าน Telegram เมื่อวันอังคารที่ผ่านมาว่า แอปปลอมดังกล่าวโจมตีเหยื่อในหลายเครือข่ายพร้อมกัน ทั้ง Bitcoin, Solana, Tron, XRP Ledger และเครือข่าย EVM (Ethereum Virtual Machine — มาตรฐานสมาร์ทคอนแทรคที่ใช้งานร่วมกับ Ethereum) ได้แก่ Ethereum, BNB Chain และอีกหลายเครือข่าย
ในบรรดาเหยื่อทั้งหมด มีอย่างน้อย 3 รายที่สูญเสียเงินหลักล้านดอลลาร์:
- เหยื่อรายที่ 1 สูญเสีย ~1.95 ล้านดอลลาร์ ในรูปแบบ BTC, stETH (Ether ที่นำไป Staking ผ่านโปรโตคอล Lido) และ ETH
- เหยื่อรายที่ 2 สูญเสีย ~3.23 ล้านดอลลาร์ ในสกุล USDT เมื่อวันที่ 9 เมษายน
- เหยื่อรายที่ 3 สูญเสีย ~2 ล้านดอลลาร์ ในสกุล USDC เมื่อวันที่ 11 เมษายน
Apple ลบแอปปลอมออกจาก App Store ในวันที่ 13 เมษายน ซึ่งเป็นวันสุดท้ายของช่วงเวลาที่ ZachXBT ติดตาม
💸 เส้นทางฟอกเงิน — ผ่าน KuCoin กว่า 150 ที่อยู่
ZachXBT ระบุว่าเงินที่ถูกขโมยถูกนำไปฟอกผ่านที่อยู่ฝากเงินของ KuCoin (Exchange คริปโตสัญชาติเซเชลส์) กว่า 150 รายการ ซึ่งเชื่อมโยงกับบุคคลที่เขาระบุชื่อว่า "AudiA6" โดยอธิบายว่าเป็นบริการ Mixing แบบรวมศูนย์ (Centralized Mixing Service — บริการที่ผสมธุรกรรมหลายรายการเพื่อปิดบังที่มาของเงิน)
ZachXBT ยังตั้งข้อสังเกตว่า KuCoin เพิ่งถูกระงับการรับสมัครผู้ใช้รายใหม่จากสหภาพยุโรปในเดือนกุมภาพันธ์ หลังได้รับใบอนุญาต MiCA (Markets in Crypto Assets Regulation — กฎระเบียบสินทรัพย์คริปโตของ EU) ไปหมาดๆ และยังตั้งคำถามว่าเหตุการณ์นี้อาจเป็นมูลเหตุสำหรับ Class Action (การฟ้องร้องแบบกลุ่ม) ต่อ Apple หรือไม่
หมายเหตุ: ข้อมูลทั้งหมดข้างต้นอ้างอิงจากการสืบสวนของ ZachXBT เพียงฝ่ายเดียว ณ เวลาที่เผยแพร่ Apple และ KuCoin ยังไม่ได้ออกมาแถลงยืนยันหรือปฏิเสธ
🎸 นักดนตรีชื่อดังก็ตกเป็นเหยื่อ
ก่อนหน้านั้นเพียง 1 วัน นักดนตรี Garrett Dutton หรือที่รู้จักกันในนาม "G. Love" ออกมาเปิดเผยว่าตัวเองสูญเสีย Bitcoin มูลค่าราว 420,000 ดอลลาร์ (ราว 14.5 ล้านบาท) หลังดาวน์โหลดแอปปลอม Ledger Live จาก Apple App Store และกรอก Seed Phrase (ชุดรหัสกู้คืนกระเป๋าเงิน 12–24 คำ ซึ่งเปรียบเหมือนรหัสผ่านหลักที่เข้าถึงทรัพย์สินทั้งหมด) ลงไป ZachXBT ยืนยันว่าเงินของ G. Love ถูกส่งไปที่ที่อยู่ฝากเงินของ KuCoin เช่นกัน
🔐 Ledger เตือน: อย่ากรอก Seed Phrase ในแอปใดทั้งสิ้น
Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Ledger ออกแถลงการณ์ย้ำชัดว่า Ledger ไม่เคยและจะไม่มีวันขอ Recovery Phrase 24 คำ จากผู้ใช้ผ่านแอปพลิเคชันใดๆ และเตือนว่าสภาพแวดล้อมซอฟต์แวร์ที่ดูเป็นทางการ ไม่ได้หมายความว่าปลอดภัยเสมอไป
"คุณไม่อาจไว้วางใจสภาพแวดล้อมซอฟต์แวร์รอบตัวคุณได้ ไม่ว่าจะเป็นเบราว์เซอร์ App Store หรือเดสก์ท็อป" — Charles Guillemet, CTO of Ledger
Guillemet กล่าวเพิ่มเติมว่าผู้โจมตีพร้อมฉวยโอกาสจากทุกช่องทาง รวมถึงแพลตฟอร์มแจกจ่ายแอปอย่างเป็นทางการ
📎 ข่าวที่เกี่ยวข้องจาก Bitcoinaddict.com: เหตุการณ์นี้ไม่ใช่ครั้งแรกที่ชุมชน Ledger ต้องเผชิญกับภัยคุกคามรูปแบบต่างๆ
👉 ปลอดภัยแล้ว! ตำรวจช่วยผู้ร่วมก่อตั้ง Ledger หลังถูกลักพาตัวเรียกค่าไถ่ในฝรั่งเศส
👉 ZachXBT อ้างว่า Circle อาจอายัด USDC ผิดเป้ากว่า 16 กระเป๋า
🔗 อ้างอิงต้นฉบับ: CoinTelegraph ภาพ mexc.com
💬 ความเห็นบรรณาธิการ Bitcoinaddict เหตุการณ์นี้สะท้อนปัญหาเชิงระบบที่น่ากังวลอย่างยิ่ง — เมื่อผู้ใช้ไม่สามารถเชื่อใจแม้แต่ App Store อย่างเป็นทางการของผู้ผลิตฮาร์ดแวร์กระเป๋าที่เราซื้อมาเพื่อความปลอดภัยโดยเฉพาะ จุดอ่อนไม่ได้อยู่ที่ตัว Hardware Wallet แต่อยู่ที่การกรอก Seed Phrase ลงบนซอฟต์แวร์ใดก็ตาม — ซึ่งเป็นสิ่งที่ไม่ควรทำเด็ดขาด หาก Apple ต้องการรักษาความน่าเชื่อถือของระบบนิเวศ App Store คณะกรรมการตรวจสอบแอปพลิเคชันจะต้องยกระดับการกลั่นกรองแอปที่เกี่ยวข้องกับสินทรัพย์ดิจิทัลอย่างเร่งด่วน
Tags / คีย์เวิร์ด SEO: Ledger Live, แอปปลอม, Apple App Store, ZachXBT, Crypto Scam, Seed Phrase, KuCoin, Hardware Wallet
— รายงานโดยทีมข่าว Bitcoinaddict.com