Criminelen hebben via een neppe wallet-app in de Apple App Store miljoenen aan cryptovaluta buitgemaakt. Het incident werd deze week zichtbaar nadat meerdere gedupeerden hun tegoeden zagen verdwijnen. Slachtoffers verloren onder meer Bitcoin (BTC) nadat zij hun herstelzin invoerden. Dit is belangrijk Bitcoin nieuws voor Nederlandse gebruikers, omdat het om een app uit een officiële winkel gaat.
Apple App Store nep-app rooft miljoenen
De valse app deed zich voor als een legitieme cryptowallet en won zo het vertrouwen van gebruikers. Na installatie vroeg de app om een “seed phrase”, de herstelzin van 12 of 24 woorden waarmee je een wallet kunt herstellen. Zodra slachtoffers die invoerden, kregen de aanvallers volledige toegang tot de munten. Binnen korte tijd werden tegoeden leeggehaald en weggesluisd.
Volgens beveiligingsonderzoekers gaat het om verliezen ter waarde van miljoenen euro. De fraude werd pas ontdekt toen meerdere meldingen samenkwamen en transacties opvielen. De app is inmiddels niet meer beschikbaar in de Store. Hoe lang de nep-app online stond, is onduidelijk.
Het voorval laat zien dat ook een streng beoordeelde appwinkel geen waterdichte bescherming biedt. Aanvallers spelen in op herkenbare merknamen en logo’s. Ze gebruiken zelfs overtuigende beschrijvingen en valse recensies. Daardoor is de eerste indruk soms misleidend betrouwbaar.
Seed phrase phishing via nep-app
De kern van de aanval is simpel: de dader vraagt om de seed phrase (de herstelzin die alle toegang tot je wallet geeft). Wie die woorden deelt, geeft feitelijk de sleutel tot zijn kluis weg. De app kopieert de woorden naar de server van de aanvaller. Daarna kan de dader de wallet op een eigen apparaat herstellen en leegmaken.
De seed phrase is de absolute sleutel: wie hem heeft, bezit de munten.
Analisten volgden de gestolen tegoeden on-chain, zichtbaar op de blockchain, het openbare transactieregister. Ze zagen dat coins in meerdere stappen werden verplaatst om herkomst te verhullen. Vaak gaan ze via zogeheten mixers of wisseldiensten. Zo hopen criminelen opsporing te bemoeilijken.
Soms wordt ook een “wallet-drainer” ingezet, een script dat in één keer alle munten uit een wallet verstuurt. Dit gebeurt rechtstreeks zodra de aanvaller toegang heeft. Daardoor is ingrijpen vaak te laat. Zelfs twee-factor-authenticatie helpt niet tegen delen van de herstelzin.
Bitcoin regulering: EU scherpt toezicht
De Europese verordening MiCA, sinds 2024 van kracht, richt zich op cryptobedrijven met klanten in de EU. Het doel is meer transparantie, betere klachtenprocedures en duidelijker informatie. Toch vallen losse appstore-aanbieders en neppers die zich anders voordoen vaak buiten direct bereik. Fraude in appwinkels blijft daardoor een lastige schakel.
In Nederland waarschuwen toezichthouders als de AFM en De Nederlandsche Bank al langer voor wallet-fraude. Hun advies is altijd: deel nooit je herstelzin, ook niet met een “helpdesk”. Daarnaast raden zij aan om te controleren of je met een vergunde aanbieder te maken hebt. Dat vermindert risico, maar sluit misleiding via apps niet uit.
Platformen als Apple hanteren strenge reviewprocessen, maar aanvallers passen naam, pictogram en code telkens aan. Daardoor glipt er toch weleens iets doorheen. Juridisch is de aansprakelijkheid vaak beperkt als criminelen misbruik maken van merken of logo’s. Voor gebruikers blijft opletten dus essentieel.
Praktische tips voor Bitcoin gebruikers
Voer een seed phrase nooit in buiten je eigen, vertrouwde hardware- of softwarewallet. Een echte aanbieder zal daar nooit om vragen via een losse app of advertentie. Twijfel je? Download alleen via de officiële website van de walletmaker en controleer de uitgevernaam in de Store. Let ook op ongebruikelijke verzoeken of druk om snel te handelen.
Controleer na installatie of het adresboek, de instellingen en de versienummers kloppen. Neem bij een update de tijd om release-informatie te lezen. Voer bij het importeren van een wallet eerst een kleine testtransactie uit. Zo beperk je schade als er iets niet klopt.
Overweeg een hardwarewallet voor grotere bedragen en bewaar de herstelzin offline, op papier of metaal, en nooit in de cloud. Zet waarschuwingen aan bij je exchange of wallet voor elke uitgaande transactie. En praat met familieleden over dit type fraude. Zo voorkom je dat iemand onder tijdsdruk toch de herstelzin invoert.
Vertrouwen in crypto-apps onder druk
Incidenten met nep-apps schaden het vertrouwen in mobiele crypto-tools. Voor nieuwe gebruikers kan dat een drempel vormen om Bitcoin te gebruiken. Tegelijkertijd blijft het netwerk zelf technisch onaangetast; het zijn de randapplicaties die kwetsbaar zijn. Het onderscheid tussen protocolveiligheid en gebruiksrisico’s is daarom belangrijk.
Voor aanbieders betekent dit dat merkbescherming en snelle verwijdering van neppers topprioriteit zijn. Snelle detectie, duidelijke verificatiebadges en waarschuwingen in de appwinkel kunnen helpen. Ook meer samenwerking met opsporing en blockchain-analisten versnelt het bevriezen van opbrengsten. Dat kan schade beperken, al is terughalen van munten zelden mogelijk.
Voor Nederlandse en Europese gebruikers blijft de les hetzelfde: vertrouw geen app met je herstelzin, hoe echt die ook lijkt. Controleer namen, links en uitgeversbij elk downloadmoment. En behandel je seed phrase als een fysieke kluissleutel. Eén keer delen is onomkeerbaar.
Dit artikel is uitsluitend informatief en vormt geen beleggingsadvies. Investeren in Bitcoin brengt risico’s met zich mee. Raadpleeg een financieel adviseur voor persoonlijk advies.
