Nhạc sĩ G. Love bị mất khoảng 5,9 BTC trong vụ lừa đảo giả mạo Ledger Live sau khi tải ứng dụng giả mạo từ Mac App Store (ngày 11 tháng 4 năm 2026)

Ca sĩ kiêm nhạc sĩ Garrett Dutton, nghệ danh G. Love của ban nhạc G. Love & Special Sauce, vừa công khai việc bị thất thoát tài sản tiền mã hóa nghiêm trọng. Theo chia sẻ của ông vào ngày 11/4/2026, Dutton cho biết đã mất khoảng 5,9 BTC (được định giá khoảng 420.000 USD tại thời điểm đó) từ quỹ tiết kiệm hưu trí, sau khi chuyển ví cứng Ledger sang máy tính mới.

Diễn biến vụ việc

Dutton cho biết sự cố xảy ra khi ông chuyển ví cứng Ledger sang máy tính mới và “vô tình tải xuống một ứng dụng Ledger giả từ App Store của Apple”. Ông mô tả toàn bộ số BTC của mình biến mất ngay lập tức sau khi nhập cụm 24 từ khôi phục vào ứng dụng giả.

Trong quá trình này, Dutton cho biết ông đã tải xuống một ứng dụng được cho là Ledger Live chính thức, hiển thị trực tiếp trên Mac App Store. Tuy nhiên, phần mềm thực chất là phiên bản giả mạo được thiết kế để lấy cắp thông tin nhạy cảm.

Ông cũng chia sẻ hàm băm giao dịch của vụ trộm và đăng một địa chỉ Bitcoin để kêu gọi cộng đồng hỗ trợ xây dựng lại quỹ tiết kiệm.

Số liệu bị đánh cắp và truy vết

Theo nhà điều tra blockchain ZachXBT, số tiền bị đánh cắp đã được truy vết và xác nhận khoảng 5,92 BTC đã được chuyển qua một chuỗi giao dịch, sau đó nộp vào các địa chỉ KuCoin để làm sạch tài sản.

Tác động và bối cảnh rủi ro

Vụ việc được xem là một minh chứng cho lỗ hổng trong hệ sinh thái tiền điện tử: các ứng dụng độc hại có thể mô phỏng gần giống phần mềm ví hợp lệ, khiến người dùng trong thao tác thường ngày (như di chuyển thiết bị hoặc cài đặt lại phần mềm) vô tình cung cấp dữ liệu quan trọng.

Trước đó, người dùng Ledger cũng từng đối mặt với các chiến dịch lừa đảo tương tự. Vào tháng 5/2025, các nhà nghiên cứu bảo mật Moonlock Lab ghi nhận các chiến dịch phân phối bản sao Ledger Live giả nhắm tới người dùng macOS. Các bản giả mạo thường thay thế ứng dụng chính hãng, hiển thị cảnh báo lỗi giả và yêu cầu nạn nhân nhập cụm seed đầy đủ dưới danh nghĩa khôi phục tài khoản hoặc xác thực bảo mật.

Khi seed phrase được gửi đi, dữ liệu được chuyển tới máy chủ do kẻ tấn công kiểm soát, cho phép rút tiền khỏi ví ngay lập tức—đúng với phương thức được mô tả trong trường hợp của Dutton.

Liên quan đến các sự cố bảo mật trước đây của Ledger

Lịch sử bảo mật của Ledger từng ghi nhận các sự cố cao cấp. Năm 2020, rò rỉ dữ liệu của công ty đã phơi bày tên, địa chỉ email, số điện thoại và chi tiết vật lý của hơn một triệu người dùng. Theo nội dung gốc, rò rỉ này sau đó dẫn tới nhiều đợt lừa đảo phishing trong nhiều năm, bao gồm các hình thức như cập nhật firmware giả, email cảnh báo và thư gửi bằng bưu điện khuyến khích người nhận “xác nhận” seed qua mã QR liên kết tới ứng dụng giả.

Đến năm 2025, các vụ lừa đảo được mô tả là leo thang khi giả danh hỗ trợ Ledger qua các trang web sao chép và danh sách trên cửa hàng ứng dụng, thường khai thác cùng cơ sở dữ liệu bị lộ.

Khuyến nghị từ thông tin chính thức

Theo tài liệu chính thức của Ledger được nhắc tới trong nội dung gốc, công ty sẽ không bao giờ yêu cầu 24 từ khôi phục qua bất kỳ ứng dụng, email hay trang web nào. Tuy vậy, các chiêu thức vẫn có thể thành công vì nhắm vào người dùng trong các thao tác định kỳ như di chuyển thiết bị hoặc cập nhật phần mềm.

Trong trường hợp của Dutton, một số ý kiến trực tuyến nghi ngờ quy trình xem xét của Apple và yêu cầu xác nhận vật lý trên ví phần cứng. Tuy nhiên, nội dung gốc nêu rằng bằng chứng trên chuỗi và các bài báo độc lập đã xác nhận tổn thất.

Nhận định

Vụ việc là lời cảnh báo đối với người nắm giữ tiền mã hóa về rủi ro từ ứng dụng giả mạo. Theo nội dung gốc, người dùng cần xác minh nhà phát hành ứng dụng (Ledger Live hợp lệ liệt kê “Ledger SAS” là người bán), chỉ tải phần mềm từ nguồn chính thức, và không bao giờ nhập seed trên bất kỳ thiết bị kết nối Internet hay ứng dụng của bên thứ ba. Ngay cả với ví phần cứng, mức độ an toàn vẫn phụ thuộc vào việc bảo vệ cụm seed khôi phục.