假冒Ledger应用窃取数百万加密货币,苹果商店下架
一款假冒的Ledger Live应用悄然从超过50名用户手中窃取了逾950万美元的加密货币,其中包括音乐人G. Love。直到苹果公司将其从Mac应用商店下架,这一骗局才被揭露。如果你曾因应用出现在官方商店就盲目信任,那么这个事件正是提醒:即便是官方渠道,也可能存在风险。
假应用如何骗过真实用户
Ledger是一家知名的硬件钱包制造商——这类小型设备能将比特币等数字资产离线安全存储,远离黑客攻击。用户通常通过官方软件Ledger Live来管理这些资产。但上周,一个高度仿真的假冒应用出现在苹果的Mac应用商店中。
这款假应用几乎与正版一模一样。安装后,它会要求用户连接自己的Ledger设备,并输入恢复短语——一段由12到24个单词组成的字符串,相当于掌控所有加密资产的终极密钥。一旦将此短语提供给任何应用或网站,你的资金控制权就完全暴露了。
把你的恢复短语想象成家中保险箱的密码。如果有人诱骗你输入到一个看似正规的银行应用中,他们就能清空你的保险箱,哪怕那个应用看起来再可信。
受害者几分钟内血本无归
其中一位受害者是知名音乐人加勒特·杜顿(G. Love),他损失了约44.7万美元的比特币。他刚换了一台新电脑,误以为苹果应用商店只上架可信应用,便下载了自认为是Ledger Live的程序。几秒钟内,他的全部加密资产瞬间蒸发。
区块链调查员ZachXBT追踪发现:
- 总计有超过950万美元的比特币、Solana、XRP和USDT被盗。
- 一名受害者仅稳定币就损失327万美元。
- 至少三人每人损失超195万美元。
黑客迅速将资金通过150多个关联至KuCoin交易所的地址转移,并使用名为AudiA6的混币服务,将赃款与其他资金混合,以掩盖来源——这类似于用多家店铺洗钱现金的方式。
为何假应用能登上应用商店?
苹果应用商店虽有严格审核机制,但诈骗者正变得越来越狡猾。这款假冒Ledger应用采用了相似的品牌标识、正确拼写,并模仿真实功能,足以通过初步审查。它在平台上存活近一周,从4月7日持续到4月13日才被移除。
这并非Ledger用户首次遭遇此类攻击。该公司警告称,网络钓鱼攻击常通过假冒应用、邮件、电话甚至伪造信件出现。去年,美国执法部门已追回因假冒邮寄物被盗的60万美元加密货币。
对普通人的警示意义
即使你不持有加密货币,也能从中吸取教训:来自大平台如苹果,不代表绝对安全。务必仔细核对网址、应用发布者信息,切勿在任何软件中输入你的恢复短语——真正的Ledger应用绝不会索取该信息。
如果你使用硬件钱包:
- 仅从官方网站(ledger.com)下载软件,不要通过应用商店获取。
- 将官网收藏为书签,避免输入错误。
- 把恢复短语当作永不外泄的密码,连技术支持人员也不告知。
核心要点
- 一款假冒的Ledger Live应用在Mac应用商店窃取了超过50名用户的950万美元加密资产。
- 受害者包括音乐人G. Love等公众人物,损失接近50万美元。
- 骗局核心在于诱导用户输入私密恢复短语——这是掌控数字资产的终极钥匙。
- 被盗资金通过KuCoin交易所并借助混币服务快速清洗,隐藏行踪。
- 即使是受信任的应用商店也难逃高级伪造;保持警惕至关重要。
— Editorial Team