Artista derubato di 424.000 $ da falsa app Ledger Live su Mac App Store - rubati 9,5 milioni in crypto a 50 vittime

Garrett Dutton non è un nome che circola spesso nei titoli sulla sicurezza informatica, visto che è il cantante di una band di Philadelphia e non un professionista del settore IT. Ma Dutton è diventato ora il volto di un incubo che qualsiasi possessore di criptovalute dovrebbe studiare con attenzione. Ha perso 5,92 BTC - circa 424.000 dollari, l'intero fondo pensione accumulato in quasi dieci anni - dopo aver scaricato un'applicazione contraffatta dal Mac App Store di Apple. Un'applicazione truffaldina, che non avrebbe mai dovuto trovarsi lì.

L'anatomia di una truffa che funziona troppo bene

La dinamica è di una semplicità disarmante. Dutton stava configurando il suo hardware wallet Ledger su un nuovo MacBook. Ha aperto il Mac App Store, ha cercato Ledger Live, cioè l'applicazione ufficiale per gestire i dispositivi Ledger, e ha scaricato quella che sembrava essere la versione legittima. Il nome, a un'occhiata rapida, era convincente. A una più attenta, molto meno: l'applicazione si chiamava LeddgerLĭve, con una doppia d e un carattere diacritico sulla i. Un dettaglio minuscolo, sufficiente però a distinguerla dal prodotto autentico. Non sufficiente, evidentemente, a far scattare i controlli di Apple.

Una volta installata, l'applicazione ha chiesto a Dutton di inserire la sua seed phrase di 24 parole - la chiave maestra che consente di ricostruire qualsiasi wallet crittografico. Dutton l'ha digitata. I fondi sono svaniti nell'arco di pochi istanti.

» Guarda anche: Gestione sicura wallet Bitcoin: ne parliamo su YouTube

«Oggi ho avuto una giornata davvero dura. Ho perso il mio fondo pensione in un attacco hacker/truffa quando ho trasferito il mio Ledger sul mio nuovo computer», ha scritto lo stesso giorno su X.

E poi, con una franchezza rara in questi casi: «Sono nel circo delle criptovalute dal 2017. Oggi mi hanno colto alla sprovvista. È stata una mia dannata colpa non essere stato più diligente. Ma che serva da monito. Ci sono così tante truffe».

Perché il wallet hardware non lo ha protetto

Qualcuno, nelle risposte al post di Dutton, ha sollevato un punto apparentemente ragionevole: un Ledger richiede la pressione fisica di un pulsante sul dispositivo per confermare ogni transazione. Come è possibile, allora, che i fondi siano stati sottratti senza accesso fisico all'hardware?

La risposta è quella che ogni esperto di sicurezza ripete da anni, e che evidentemente non è ancora arrivata a tutti. La seed phrase non è un accessorio del wallet hardware: è il wallet. È la rappresentazione leggibile delle chiavi private. Chiunque la possieda può ricostruire l'intero portafoglio su qualsiasi altro dispositivo, senza mai sfiorare il Ledger originale. Nel momento in cui quelle 24 parole escono dall'enclave sicura del dispositivo hardware e vengono digitate su un computer connesso a internet, tutta la protezione offerta dall'hardware diventa irrilevante. È come installare una porta blindata e poi consegnare le chiavi a uno sconosciuto.

Dutton non è stato vittima di un exploit sofisticato. Nessun codice oscuro, nessuna vulnerabilità zero-day. Solo ingegneria sociale: un'applicazione dall'aspetto credibile che gli ha chiesto l'unica cosa che non avrebbe mai dovuto condividere.

» Guarda anche: Balance: 0 - Così mi hanno rubato tutti gli IOTA (video)

La pista dei fondi e il muro di KuCoin

L'investigatore blockchain ZachXBT ha tracciato i Bitcoin rubati. I 5,92 BTC sono stati frazionati in nove transazioni e convogliati verso indirizzi di deposito su KuCoin. I movimenti sono verificabili da chiunque su un explorer: la blockchain di Bitcoin è pubblica. Recuperare quei fondi, però, è tutt'altra storia.

ZachXBT ha descritto il congelamento o il recupero come «quasi impossibile», citando la reputazione di KuCoin nella gestione di fondi associati ad attività criminali. Il contesto normativo dell'exchange non aiuta: nel 2025, KuCoin ha pagato oltre 300 milioni di dollari alle autorità statunitensi per risolvere violazioni delle norme antiriciclaggio. A febbraio 2026, i regolatori austriaci hanno vietato all'exchange l'acquisizione di nuovi utenti nell'UE, a pochi mesi dall'ottenimento della licenza MiCA, per problemi di conformità.

Non un caso isolato: una campagna da 9,5 milioni di dollari

La storia di Dutton è la più visibile, ma non è l'unica. Secondo un'inchiesta di CoinDesk, l'applicazione contraffatta faceva parte di una campagna di phishing più ampia che, tra il 7 e il 13 aprile 2026, ha colpito oltre 50 vittime per un totale di almeno 9,5 milioni di dollari. Le blockchain coinvolte non si limitano a Bitcoin: Ethereum, Solana, Tron e XRP sono tutti nel perimetro dell'attacco.

Le tre perdite singole più gravi danno la misura della scala dell'operazione:

• 3,23 milioni di dollari in USDT, sottratti il 9 aprile
• 2,08 milioni di dollari in USDC, sottratti l'11 aprile
• 1,95 milioni di dollari in BTC, ETH e stETH, sottratti l'8 aprile

I fondi rubati sono transitati attraverso oltre 150 indirizzi di deposito KuCoin e sono stati collegati ad «AudiA6», un servizio centralizzato di mixing di criptovalute noto per applicare commissioni elevate in cambio dell'offuscamento dei flussi illeciti.

Il problema Apple

Apple ha rimosso l'applicazione dal Mac App Store. Nessuna dichiarazione pubblica, nessun commento alle richieste di CoinDesk. Stessa cosa da parte di KuCoin.

Il silenzio è eloquente, ma il danno reputazionale è concreto. Apple costruisce da anni il proprio marketing sulla sicurezza dell'ecosistema, sulla curatela rigorosa dell'App Store, sulla differenza tra il proprio giardino recintato e l'anarchia percepita delle piattaforme concorrenti. Eppure un'applicazione con un nome palesemente sgrammaticato ha superato il processo di revisione ed è rimasta disponibile abbastanza a lungo da causare danni per milioni di dollari.

ZachXBT ha anche segnalato che Apple sembra bloccare urlscan.io dall'analisi della pagina dell'applicazione fraudolenta - un comportamento che, se confermato, solleva domande scomode sulla trasparenza. Lo stesso investigatore ha suggerito che l'incidente potrebbe esporre Apple a rischi legali.

E non si tratta di un problema nuovo, né esclusivo di Apple. Nel 2023, un'applicazione Ledger Live contraffatta superò i controlli del Microsoft Store con lo stesso identico metodo, causando il furto di circa 600.000 dollari in Bitcoin. Nel 2025, la società di sicurezza informatica Moonlock documentò malware per macOS progettato specificamente per sostituire installazioni legittime di Ledger Live e sottrarre la seed phrase.

La regola d'oro che nessuno rispetta

Ledger ha ribadito - per l'ennesima volta - che le sue applicazioni ufficiali sono disponibili esclusivamente tramite Ledger.com. Mai attraverso l'App Store, mai attraverso il Microsoft Store, mai attraverso store di terze parti. Se trovate «Ledger Live» in uno store di applicazioni, è un falso. Punto.

La regola fondamentale è una sola e non ammette eccezioni: la seed phrase non va mai, in nessuna circostanza, digitata su un dispositivo connesso a Internet. Non in un'applicazione, non in un modulo web, non in un campo di testo di qualsiasi tipo. L'unico luogo in cui quelle parole hanno diritto di esistere è il foglio di carta - o la piastrina di metallo - su cui sono state trascritte al momento della creazione del wallet, conservato in un luogo fisicamente sicuro.

L'FBI ha stimato che nel 2025 gli americani hanno perso oltre 11 miliardi di dollari per frodi legate alle criptovalute. Il phishing della seed phrase attraverso software contraffatto è una delle categorie più redditizie per gli attaccanti. I numeri dicono che il messaggio non sta passando.

Dutton ha avuto l'onestà di ammettere il proprio errore in pubblico, trasformando una perdita personale devastante in un avvertimento per chiunque detenga criptovalute. Che si possiedano 0,01 BTC o 100, il meccanismo dell'attacco è identico. La fiducia nel marchio Apple - o in qualsiasi altro custode di uno store - non sostituisce la verifica diretta della fonte del software che gestisce i propri fondi. Mai.

Fonti: news.bitcoin.com, coindesk.com, coinpedia.org