Dieci anni di risparmi in Bitcoin. Spariti in trenta secondi.
Garrett Dutton — in arte G. Love, frontman dei G. Love & Special Sauce — ha perso 5,92 BTC l'11 aprile 2026. Nessun exploit tecnico, nessun bug di Ledger. Solo un'app falsa scaricata dall'Apple Mac App Store, convinto fosse quella giusta.
Un Errore che Fa Male Anche a Leggerlo
G. Love stava spostando il suo wallet su un nuovo computer Apple. Ha cercato "Ledger Live" nell'App Store. Ha trovato un'app che sembrava ufficiale, ben fatta, con le giuste icone. L'ha scaricata. Al primo avvio, l'app gli ha chiesto le 24 parole della seed phrase per "ripristinare il dispositivo". Lui le ha inserite.
In quel momento qualcuno dall'altra parte del mondo aveva il controllo totale di tutto il suo Bitcoin.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
ZachXBT Traccia Tutto
Nelle ore successive, l'investigatore on-chain ZachXBT ha seguito la scia dei fondi: 5,92 BTC mossi attraverso nove transazioni distinte, tutti convogliati su indirizzi di deposito di KuCoin.
"Ho tracciato i tuoi 5,92 BTC rubati: sono stati tutti riciclati tramite indirizzi di deposito @kucoincom."
— ZachXBT (@zachxbt), 12 aprile 2026
Nessuna aspettativa di recupero. KuCoin aveva perso la licenza MiCA europea solo a febbraio 2026 — tre mesi dopo averla ottenuta dall'Austria — e secondo ZachXBT l'exchange continua a essere sfruttato da servizi illeciti senza un'adeguata risposta. Non è una novità: nel 2025 le perdite da phishing su firma digitale erano esplose del 207%, un segnale già chiaro allora che il settore stava diventando il bersaglio preferito dei truffatori professionisti.
Apple Non Dice Nulla
L'app era intestata a uno sviluppatore terzo, non a Ledger SAS, e aveva comunque superato il processo di review dell'App Store. Apple non ha rilasciato alcun comunicato, non ha confermato la rimozione dell'app e, secondo ZachXBT, avrebbe persino ostacolato i tentativi di documentare l'incidente pubblicamente.
"Sembra che Apple non voglia che le persone documentino il fatto che consente app false nel suo App Store."
— ZachXBT (@zachxbt), 12 aprile 2026
Non è il primo caso. Nel 2023 un'app falsa di Ledger sul Microsoft Store aveva causato quasi 600.000 dollari di perdite. Stessa dinamica, stessa negligenza delle piattaforme.
La Regola che Vale Sempre
Ledger lo dice da anni: Ledger Live esiste solo su ledger.com. Mai negli app store. La seed phrase va inserita solo sul dispositivo fisico, mai su un'app, mai su un browser, mai su un laptop. Se un'applicazione te la chiede su schermo, è una truffa. Sempre.
Beau, responsabile della sicurezza di Pudgy Penguins, lo ha scritto poche ore dopo la notizia: non importa quanto professionale sembri l'interfaccia. Un dispositivo connesso a internet che chiede le tue 24 parole è già compromesso.
Se hai un hardware wallet e non hai ancora chiaro il confine tra hot e cold storage, questa guida ti aiuta a capire da dove partire. Non è roba avanzata — è la base.
G. Love ha chiuso la vicenda con una dignità rara: "È colpa mia per non essere stato abbastanza diligente. Ma che serva da avvertimento. Ci sono così tante truffe là fuori."
Mentre X sta cercando di bloccare i nuovi account crypto al primo post per arginare il phishing, episodi come questo ricordano che la vera vulnerabilità non è quasi mai tecnica. È umana.
