硬體錢包用戶注意!知名鏈上偵探 ZachXBT 發布紅色警戒,指出蘋果 App Store 近期又被夾帶了一款假的「Ledger Live」應用程式。在短短一週內,該假 App 已造成超過 50 名受害者資產遭竊,總損失高達 950 萬美元。贓款大量流向 KuCoin 與混幣平台,ZachXBT 甚至呼籲受害者應考慮對審查疏失的蘋果公司發起集體訴訟。
(前情提要:北韓駭客遭反殺!ZachXBT 扒出內部支付伺服器資料:假工程師月賺百萬鎂、密碼竟是 123456)
(背景補充:鏈上偵探ZachXBT砲轟Circle!Drift 被駭數千萬 USDC 「數個小時沒人管」)
硬體錢包本應是最安全的資產守護者,但若下載了假的配套軟體,所有的防護都將形同虛設。
知名鏈上偵探 ZachXBT 今(14)日在其個人頻道發布了緊急的社群警報(Community alert),揭露了一起發生在蘋果 App Store 上的重大加密貨幣釣魚竊盜案。一款偽裝成硬體錢包 Ledger 官方配套軟體「Ledger Live」的假 App,成功繞過了蘋果的應用程式審查,並在極短的時間內造成了災難性的損失。
短短一週狂掃 950 萬鎂,前三大苦主損失慘重
根據 ZachXBT 的鏈上追蹤數據,這起竊盜案主要發生在 2026 年 4 月 7 日至 13 日之間。該假 App 透過誘騙用戶輸入助記詞或授權惡意交易,成功從超過 50 名疑似受害者手中竊取了總計高達 950 萬美元的加密資產。
受害網路涵蓋了各大主流公鏈,包含比特幣(Bitcoin)、EVM 兼容鏈、波場(Tron)、Solana 以及瑞波(Ripple)。其中,損失最為慘重的前三大苦主,每人的損失金額都達到了驚人的七位數:
- 4 月 9 日受害者:損失 323 萬美元(323 萬枚 USDT)。
- 4 月 11 日受害者:損失 207.9 萬美元(207.9 萬枚 USDC)。
- 4 月 8 日受害者:總損失約 195 萬美元(包含 20.64 枚 BTC、211 枚 stETH 以及 70 枚 ETH)。
贓款流向 KuCoin
在得手鉅額資產後,駭客隨即展開了複雜的洗錢作業。ZachXBT 指出,這些被盜資金主要透過超過 150 個 KuCoin 交易所的存款地址進行清洗,且這些地址皆與一個名為「AudiA6」的中心化混幣服務有關,該服務以收取高昂手續費來協助清洗非法資金而聞名。
ZachXBT 特別點名了 KuCoin 在過去一年中,其平台上非法活動的急劇增加,並列舉了該交易所近期的監管黑歷史:
- 2025 年 1 月:KuCoin 因違反反洗錢(AML)法規,向美國政府支付了超過 3 億美元的鉅額罰款以達成和解。
- 2026 年 2 月:儘管 KuCoin 於 2025 年 11 月才剛獲得歐盟的 MiCA 許可,但隨後即遭奧地利監管機構禁止其吸收新的歐盟用戶。
蘋果火速下架,ZachXBT 籲發起集體訴訟
面對如此嚴重的資安漏洞,蘋果官方已於昨日(13 日)緊急將該款假 Ledger Live 應用程式從 App Store 中移除。然而,傷害已經造成,許多用戶對蘋果標榜「嚴格安全審查」的 App Store 生態系感到強烈不滿。
ZachXBT 在貼文中直言不諱地表示:「我很好奇,這起事件是否能構成對蘋果公司(Apple)提起集體訴訟的理由?」這並非 App Store 首次出現假的加密錢包應用程式,隨著損失金額不斷攀升,科技巨頭在防範加密金融詐騙上的審查責任,恐將面臨更嚴格的法律檢視。動區提醒所有冷錢包用戶,下載任何配套軟體務必從官方網站的連結前往,切勿直接在應用程式商店搜尋,以免落入駭客的釣魚陷阱。
📍相關報導📍
駭客買下 30 款 WordPress 外掛植入後門、潛伏8個月,用以太坊智能合約繞過域名封鎖
