苹果应用商店虚假Ledger应用一周内骗取950万美元
realtime news Apr 14, 2026 15:04
4月7日至13日期间,超过50名受害者因苹果App Store上的欺诈性Ledger Live应用损失950万美元,被盗资金通过KuCoin地址进行洗钱。
据区块链调查员ZachXBT称,一款上架苹果App Store的假冒Ledger Live应用在短短六天内从50多名受害者处窃取了约950万美元。该欺诈应用于4月13日被苹果下架,此前它诱骗用户交出助记词——即加密钱包的主密钥。
盗窃行为发生在4月7日至4月13日期间,波及比特币、以太坊、Solana、Tron和XRP Ledger网络的用户。仅三名受害者的损失就超过700万美元:一人于4月9日损失323万美元USDT,另一人于4月11日损失约200万美元USDC,第三人则眼睁睁看着195万美元的BTC、ETH和质押ETH消失。
资金通过KuCoin转移
ZachXBT追踪发现,被盗加密货币流经150多个据称与AudiA6相关的KuCoin充值地址,他将其描述为一种中心化混币服务。该调查员指出该交易所的非法活动有所增加——值得注意的是,奥地利监管机构于2月禁止KuCoin接纳新的欧盟用户,而此前不久该平台刚获得MiCA许可证。
截至发稿时,苹果和KuCoin均未回应置评请求。ZachXBT公开质疑此事件是否可以支持对苹果提起集体诉讼,因为苹果在审核过程中放行了该恶意应用。
Ledger首席技术官:不要信任任何东西
Ledger首席技术官Charles Guillemet对安全影响直言不讳。他强调,公司绝不会要求用户提供24个单词的恢复短语,并警告用户看似官方的软件环境并不能提供真正的保护。
"你不能信任周围的软件环境——无论是浏览器、应用商店还是桌面,"Guillemet告诉Cointelegraph。"攻击者会在任何有机会的地方行动,"包括用户认为经过审核的平台。
这一警告对音乐人Garrett Dutton(艺名G. Love)来说为时已晚。他周一透露,在从苹果商店下载了他以为是正版Ledger Live的应用后,损失了约42万美元的BTC。根据ZachXBT的分析,他的资金最终也流向了KuCoin充值地址。
屡见不鲜的问题
这并非假冒Ledger应用首次绕过主要平台的审核。2023年,类似的恶意应用曾出现在微软商店,在被下架前造成了重大损失。这种模式表明,应用商店的审核流程仍不足以识别针对加密货币的复杂恶意软件。
对于交易者和持币者来说,教训很明确:硬件钱包的助记词绝不应输入任何应用程序,无论该应用从何处下载。这24个单词的唯一合法用途是在Ledger物理设备上恢复钱包——而非在声称是Ledger Live的软件中使用。
据安全公司Hacken统计,2026年第一季度Web3黑客攻击已造成4.82亿美元损失,此次事件使今年再次成为加密安全的艰难之年。持有大量资产的用户或许应该重新考虑,任何热钱包的风险敞口是否值得为了便利而承担。
Image source: Shutterstock.jpg)