链上调查员 ZachXBT 指出,一款冒充 Ledger Live 的假冒应用曾在苹果 App Store 上架,并在 4月7日至4月13日 间造成超过 50名用户 受害,累计被盗资金超过 950万美元。相关资产分布于比特币、EVM、Tron、Solana 和 Ripple 等多个网络。苹果已在其发帖前一天将该应用下架,但事件已经引发外界对应用商店审核机制的广泛质疑。
多名受害者损失惨重
根据 ZachXBT 披露,三名最大受害者的损失均达到七位数。其中,一名用户在 4月9日 损失 323万美元USDT;另一名用户在 4月11日 被盗 207.9万美元USDC;第三名受害者则在 4月8日 损失价值 195万美元 的加密资产,包括 20.64枚BTC、211枚stETH 和 70枚ETH。
知名音乐人 G. Love 也在受害者之列。报道显示,他因下载该假应用损失了近 6枚BTC。ZachXBT 还称,涉案资金随后通过一个名为 AudiA6 的中心化混币服务转移。
KuCoin遭点名,洗钱路径成焦点
ZachXBT 进一步声称,被盗资金通过与 AudiA6 相关的 150多个KuCoin充值地址 进行清洗和转移。他还提到,在这起 Ledger 假应用盗窃发生前几天,另有攻击者曾将 Bitcoin Depot 事件中的 350万美元以上 资金,经由 25个以上KuCoin充值地址 进行洗转。
在社交平台 X 上,ZachXBT公开质问 KuCoin,认为平台的即时兑换与 KYC 机制可能被不法分子滥用,并指控类似 AudiA6 的非法资金处理实体得以长期运作。KuCoin 官方账号随后曾要求其提供 UID 和工单编号以便调查,但截至报道发布时,KuCoin 尚未就这些具体指控作出公开回应。
苹果审核机制与用户安全再受拷问
此次事件也让苹果 App Store 的审核流程面临更多审视:恶意软件如何以官方应用形式通过审核,并持续运作至造成大规模损失,成为市场关注重点。ZachXBT 甚至表示,这一情况可能为针对苹果的集体诉讼提供依据。
Ledger 首席技术官 Charles Guillemet 也借此再次提醒用户:Ledger 永远不会索要用户的24个助记词。他强调,无论是应用、网站还是浏览器环境,都不应被默认信任;用户最重要的安全原则,是将私钥保留在具备安全屏幕的专用硬件设备中,且绝不在任何应用或网站输入助记词。

