音乐人因伪装版Ledger应用损失巨额比特币

一位知名音乐创作者因误信苹果Mac应用商店中一款仿冒Ledger Live的恶意软件，导致其持有的5.92枚比特币被迅速转移，总价值达42万美元。该应用程序通过伪造官方界面诱导用户输入敏感信息，最终完成资金盗取。

恶意应用渗透主流分发渠道

此次攻击所涉应用虽发布于苹果官方应用商店，但其开发者身份与正规公司无关联。该程序精准复刻了真实Ledger Live的视觉风格与交互流程，包括品牌标识、菜单布局及初始化步骤，使用户难以识别真伪。

恢复短语输入环节成关键突破口

在安装配置阶段，假冒应用引导用户输入24词恢复短语。这违反了加密安全的基本原则——真正的桌面端工具从不索取此类信息。一旦输入，攻击者即获得完整账户控制权，实现即时资产转移。

资金快速洗钱并归集至交易所

被盗币款经九次链上转移，逐步分散至多个中间地址，最终流入与KuCoin交易所基础设施相关的资金池。这一路径设计符合专业级洗钱模式，旨在切断追踪链条，提升追回难度。

平台审核机制持续面临挑战

该事件是继2023年微软商店类似骗局后，又一起成功绕过官方审查的案例。分析指出，当前分发平台对应用内容的验证仍依赖表面合规性，缺乏对行为逻辑与安全协议的深度检测，导致恶意软件屡禁不止。

强化防护意识刻不容缓

安全机构重申：绝不应在任何联网设备上输入或保存恢复短语。随着网络钓鱼手段日趋逼真，攻击者正广泛利用公众对权威平台的信任实施精准诈骗。此事件再次凸显平台责任与用户教育双重短板。