本月,苹果 App Store 上出现了一个虚假的 Ledger Live 应用程序,在短短几天内从 50 名受害者手中窃取了价值约 950 万美元的加密货币。
该恶意 macOS 应用通过诱导用户输入助记词,从而使攻击者能够完全控制用户的数字钱包。
区块链调查员 ZachXBT 指出,攻击者在多个区块链网络之间转移了资金,涉及比特币 (Bitcoin)、以太坊 (Ethereum)、波场 (Tron)、Solana 和瑞波币 (Ripple)。
据调查人员称,被盗资产通过 KuCoin 交易所的 150 多个充值地址进行了洗钱。这些资金与名为 “AudiA6” 的中心化混币服务有关,该服务通过收取高额费用来处理加密交易。
个人损失惨重
ZachXBT 追踪的数据显示,在 4 月 8 日至 4 月 11 日期间,有三名特定受害者的损失达到了七位数,金额分别为 323 万美元、208 万美元和 195 万美元。
音乐人 G. Love 在 X 平台上分享称,他在下载了该诈骗软件后损失了 5.9 枚 BTC,价值约 43 万美元。这一具体案例也得到了 ZachXBT 的证实。
Reddit 上的讨论显示,该虚假应用是以 “Leva Heal Limited” 的名义发布的,该账号与 Ledger 官方开发团队并无关联。为了伪装成正版,攻击者还频繁发布更新,在短短两周内就从 1.0 版本快速升级到了 5.0 版本。
在收到多名用户的举报后,苹果已将该应用从 App Store 下架。然而,此时 950 万美元的窃取案已经完成。
KuCoin 宣布已冻结涉及此诈骗计划的相关账户,但该平台也指出,除非执法部门要求延长,否则冻结计划仅持续到 4 月 20 日。
此事件凸显了软件分发环节中存在的反复出现的漏洞。虽然 Ledger 通过其官方网站提供 Mac 版应用,但并未在苹果 App Store 上提供 macOS 版本。攻击者此前曾利用这一漏洞,例如 2023 年针对 Microsoft Store 的一次攻击,导致 76.8 万美元的加密货币被盗。
