链上调查员 ZachXBT 公开表示,一款曾上架苹果 App Store 的假冒 Ledger Live 应用,在 4月7日至4月13日 短短一周内,已从 50多名受害者 手中窃取超过 950万美元 的加密资产。根据其披露,相关被盗资金涉及 比特币、以太坊生态资产、Tron、Solana 以及 Ripple 等多条链,随后疑似经由 150多个 KuCoin 充值地址 进行清洗。
多名受害者损失惨重
ZachXBT指出,受害者中损失最严重的三人均为七位数级别。其一在 4月9日 损失了 323万美元 USDT;其二在 4月11日 损失 207.9万美元 USDC;第三名受害者则在 4月8日 损失价值 195万美元 的加密资产,其中包括 20.64枚BTC、211枚stETH 和 70枚ETH。此外,音乐人 G. Love 也被点名为受害者之一,其损失接近 6枚BTC。
KuCoin与洗钱路径引发质疑
ZachXBT将一项名为 AudiA6 的中心化混币服务列为资金转移通道之一,并指控该服务借助 KuCoin 的充值地址网络处理非法资金。他进一步称,在此次 Ledger 假应用事件发生前数日,另有攻击者曾通过 25个以上 KuCoin 充值地址 清洗与 Bitcoin Depot 事件相关的 350万美元以上 资金。ZachXBT因此公开质问 KuCoin,认为其即时兑换与 KYC 机制可能被不法分子利用。
截至原文发布时,KuCoin 尚未就这些具体指控作出公开回应。报道提到,KuCoin 官方账号曾在社交平台要求提供 UID 和工单编号,以便进一步核查,但这一回复更像是客服层面的标准流程,而非针对指控本身的正式表态。
苹果审核机制再受拷问
这起事件也让苹果 App Store 的应用审核机制再次受到关注。ZachXBT表示,这一情况甚至可能为针对苹果的集体诉讼提供依据,因为涉事欺诈应用曾通过官方商店审核并上线。虽然苹果随后已将该应用下架,但外界关切的核心在于:恶意软件为何能进入官方分发渠道,又为何能在造成大规模损失后才被移除。
Ledger 首席技术官 Charles Guillemet 也借此提醒用户,Ledger 绝不会要求用户提供24个助记词。他强调,若任何应用或个人索要助记词,就应立即视为异常。Guillemet进一步表示,用户不能盲目信任浏览器、应用商店或桌面环境,真正有效的防护方式,是将私钥保存在具备安全显示屏的专用硬件设备中,并且绝不在任何应用或网站中输入助记词。

