链上调查员ZachXBT公开指控称,一款出现在苹果 App Store 的假冒 Ledger Live 应用,在4月7日至4月13日之间从50多名受害者手中盗走了超过950万美元的加密资产。根据其披露,这些被盗资金随后疑似通过150多个 KuCoin 充值地址进行转移和清洗。苹果已在其发文前一天将该应用下架。
一周内跨多链作案,三名受害者损失均超百万美元
ZachXBT表示,这起事件波及比特币、以太坊生态EVM网络、Tron、Solana和Ripple等多个链上资产。已披露的三名最大受害者损失均达到七位数:一名用户于4月9日损失323万美元USDT;另一名用户于4月11日损失207.9万美元USDC;第三名受害者则在4月8日损失约195万美元的加密资产,其中包括20.64枚BTC、211枚stETH和70枚ETH。
此外,音乐人G. Love也被列为受害者之一,损失接近6枚BTC。报道提到,ZachXBT将一个名为AudiA6的中心化混币服务识别为涉案资金转移所使用的通道之一,并称该服务收取高额费用处理非法资金。
矛头指向KuCoin,质疑其KYC与风控机制
ZachXBT进一步声称,这些与假应用相关的被盗资金流经了与AudiA6有关的KuCoin充值地址。他还表示,在Ledger假应用盗窃案发生前几天,另一个威胁行为者曾通过25个以上 KuCoin 充值地址清洗来自Bitcoin Depot事件的350万美元以上资金。
在社交平台X上,ZachXBT直接向KuCoin发问,质疑其为何允许涉案地址在平台上完成大规模资金洗转,并批评其“即时兑换”与KYC机制可能被滥用。KuCoin官方账号随后回复称可提供UID和工单号以便核查,但截至报道发布时,KuCoin尚未就这些具体指控作出公开回应。
苹果审核机制再受拷问,Ledger提醒绝不索要助记词
该事件也再次引发外界对苹果应用审核流程的质疑:恶意软件为何能进入官方商店,以及在被移除前究竟能存活多久。ZachXBT认为,苹果托管这一欺诈应用的行为,可能为未来的集体诉讼提供依据。
针对事件,Ledger首席技术官Charles Guillemet强调,Ledger绝不会要求用户提供24个助记词。“如果任何人或任何应用要求你输入24个单词,就应当默认有问题。”他提醒用户,不应盲目信任浏览器、应用商店或桌面软件环境,保护资产的关键在于将私钥保存在具备安全屏幕的专用硬件设备中,且绝不在任何应用或网站中输入助记词。

