苹果商店惊现虚假账本应用，一周内盗取950万美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

苹果商店惊现虚假账本应用，一周内盗取950万美元

2026-04-15 05:51:27

加密骗局：虚假应用如何通过苹果安全审核

一款冒充官方Ledger Live硬件钱包应用的加密诈骗程序通过了苹果应用商店的审核流程，在4月7日至13日期间，从超过50名受害者的比特币、以太坊、Solana、波场和瑞波币账户中盗取了至少950万美元。被盗资金通过超过150个KuCoin充值地址转移，最终流入一个中心化混币服务。

攻击详情

三起最大金额的盗窃分别发生在：4月9日被盗323万美元USDT，4月11日被盗208万美元USDC，以及4月8日被盗195万美元的BTC、ETH和stETH。区块链调查员ZachXBT追踪发现，所有被盗资金最终都流向了一个名为AudiA6的混币服务充值地址，该服务以收取高额费用掩盖非法交易而闻名。

此次攻击得逞的机制在于：虚假应用在看似正常的钱包设置流程中，诱导用户输入24个单词的助记词。一旦助记词被输入任何联网应用，攻击者便能立即完全控制由此生成的所有钱包。

平台回应与调查困境

苹果已将该虚假应用从商店下架，但未公开说明其如何通过审核流程。ZachXBT另行报告称，苹果似乎正在阻止一款安全分析工具检查该欺诈性应用页面，这增加了独立调查的难度。

在ZachXBT发布链上分析报告后，这起盗窃事件引起了广泛关注。其中一位受害者在社交平台透露，自己是费城音乐人加勒特·达顿，他损失了积攒十年之久的5.92枚比特币。他写道：“这是我十年的心血。大家务必小心。”他是在为新购买的MacBook设置Ledger硬件钱包时，通过应用商店搜索“Ledger Live”并下载了这款假冒应用。输入的助记词使攻击者瞬间获得了访问权限。

类似事件并非首次发生。2023年，一个几乎完全相同的虚假Ledger应用通过微软应用商店盗取了约60万美元，使用了完全相同的“仿冒应用+索取助记词”手法。

为何助记词与应用商店存在结构矛盾

硬件钱包的整个安全模型建立在一个核心规则上：助记词绝不接触联网设备。物理硬件在离线环境下生成助记词并在内部签署交易，因此私钥永远不会暴露在互联网中。当用户将助记词输入任何应用、网站或键盘时，硬件钱包的保护机制即告失效。包括Ledger在内的正规钱包提供商从不会在设置过程中索要助记词。任何提出此类要求的应用，要么存在故障，要么具有恶意。安全专家建议仅从官网直接下载钱包软件，切勿通过任何应用商店获取。

被盗资金去向与追回可能性

ZachXBT通过九笔交易追踪被盗资金，发现其流入了与AudiA6混币服务关联的KuCoin充值地址。该交易所曾于2025年因反洗钱违规向美国当局支付超3亿美元罚款，并于2026年2月被奥地利监管机构禁止接纳新的欧盟用户。资金追回需要协调执法行动与交易所的自愿配合，但ZachXBT表示对此不抱期望。这起事件引发了关于用户可能就平台责任对苹果提起集体诉讼的讨论，同时也再次印证了加密安全专家为何始终坚持警告用户：务必仅从制造商官方网站下载钱包软件。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文