在为期一周的钓鱼攻击中,通过苹果 App Store 分发的虚假 Ledger Live 应用从数十名用户手中窃取了至少 950 万美元的加密货币。
这起攻击发生在 4 月 7 日至 4 月 13 日期间,涉及比特币、以太坊、Solana、Tron 和 XRP 等多个网络,受害者超过 50 人。
受害者在不知情的情况下,将助记词输入到了该恶意应用中,从而导致攻击者获得了其数字钱包的完全控制权。
用户 @glove 在 X 平台上发帖称,自己损失了 5.9 枚 BTC,这相当于他十年的积蓄。“我的一笔养老金在这次黑客攻击/诈骗中化为乌有……所有的 BTC 瞬间消失了,”该用户写道。
链上调查员 ZachXBT 追踪发现,被盗的 5.92 枚 BTC 流向了 KuCoin 的充值地址。这些资金通过一系列交易,最终流向了名为 AudiA6 的中心化洗钱服务。
通过 KuCoin 进行洗钱
被盗资产流经了 1 50 多个 KuCoin 充值地址。鉴于 KuCoin 近期面临的监管压力,使用中心化交易所进行洗钱的行为尤为引人注目。
2025 年,KuCoin 为解决反洗钱违规问题向美国当局支付了超过 3 亿美元。近期,奥地利监管机构还禁止该交易所招揽新的欧盟用户。
其中三起最大的盗窃案涉及金额均达七位数。4 月 9 日,攻击者窃取了 323 万美元的 USDT;随后在 4 月 11 日窃取了 208 万美元的 USDC;而在 4 月 8 日,攻击者又窃取了价值 195 万美元的 BTC、ETH 和 stETH。
苹果随后已将该假冒的 Ledger Live 应用从 App Store 下架。然而,由于该应用绕过了苹果的审核流程,目前已有呼声要求采取法律行动。
ZachXBT 表示,此次事件可能成为针对苹果发起集体诉讼的基础。通过官方应用商店发生如此大规模的损失,仍是目前舆论关注的焦点。
2025 年,整个行业的诈骗和黑客攻击损失总额约为 170 亿美元。社会工程学和钓鱼攻击依然是此类攻击的主要手段。
损失发生后,受害者 @glove 写道:“我工作了十年才攒下这些,”并提醒道,“大家一定要提高警惕。”
