Un’app falsa di criptovalute è riuscita a superare i controlli di Apple ed è rimasta disponibile sul Mac App Store per circa due settimane, causando perdite per circa 9 milioni di euro a oltre 50 utenti. L’applicazione si spacciava per la versione macOS di Ledger Live, uno dei wallet crypto più diffusi al mondo, e ha operato indisturbata dal 7 al 13 aprile prima che Apple intervenisse per rimuoverla.
Il meccanismo della truffa era tanto semplice quanto efficace. L’app fasulla replicava l’aspetto grafico del vero Ledger Live, ma con una differenza sostanziale: chiedeva agli utenti di inserire le proprie seed phrase, ovvero quelle sequenze di parole che funzionano come chiave d’accesso definitiva ai portafogli di criptovalute. Nessuna app legittima chiede mai di digitare le seed phrase, ed è proprio questa la regola d’oro che chi opera nel mondo crypto dovrebbe conoscere. Eppure, più di 50 persone ci sono cascate. E non stiamo parlando di cifre trascurabili: tre delle vittime hanno perso somme a sette cifre ciascuna, un dato che rende questa vicenda particolarmente grave anche per gli standard delle truffe nel settore.
Come funzionava la truffa e dove sono finiti i fondi
Va chiarito un punto importante: l’app ufficiale di Ledger Live per Mac esiste, ma viene distribuita esclusivamente attraverso il sito web di Ledger, non tramite il Mac App Store. Questo dettaglio avrebbe dovuto rappresentare un campanello d’allarme, sia per gli utenti sia per il team di revisione di Apple. Eppure l’app contraffatta è passata attraverso il processo di app review di Apple senza che nessuno la bloccasse.
I fondi sottratti alle vittime sono stati fatti transitare attraverso l’exchange KuCoin, e successivamente gli hacker hanno utilizzato un servizio di mixing chiamato AudiA6, che applica commissioni elevate per rendere le transazioni praticamente impossibili da tracciare. Un sistema collaudato di riciclaggio di criptovalute, insomma, che dimostra un livello di organizzazione tutt’altro che improvvisato.
Apple sotto pressione: possibile azione legale collettiva
La vicenda ha sollevato interrogativi pesanti sulla sicurezza del Mac App Store e sulla reale efficacia dei controlli che Apple applica prima di pubblicare le applicazioni. Non è chiaro come l’app falsa sia riuscita a superare la fase di revisione, e Apple al momento non ha rilasciato alcun commento ufficiale sulla questione.
Chi ha indagato sulla truffa è ZachXBT, figura nota nel mondo della sicurezza blockchain, che ha condiviso tutti i dettagli su Telegram. Secondo quanto suggerito dallo stesso ZachXBT, l’entità delle perdite subite dagli utenti potrebbe esporre Apple a una class action in futuro. Del resto, il Mac App Store viene presentato da sempre come un ambiente sicuro e controllato, e gli utenti si fidano proprio perché Apple promette di verificare ogni applicazione prima della pubblicazione. Quando questa promessa viene meno, e le conseguenze economiche sono così pesanti, le responsabilità diventano difficili da ignorare.
L’app falsa di Ledger Live è stata rimossa dal Mac App Store, ma il danno ormai era fatto: circa 8,5 milioni di euro volatilizzati nell’arco di appena una settimana.
