十年的比特币储蓄,三十秒内化为乌有。
2026年4月11日,音乐人Garrett Dutton——艺名G. Love,乐队G. Love & Special Sauce主唱——损失了5.92枚BTC,按当时价格约合42万美元。这起事件没有任何技术漏洞,没有Ledger系统缺陷,只是一款从苹果Mac App Store下载的虚假Ledger Live应用,让他付出了退休积蓄的全部代价。
苹果商店惊现虚假Ledger应用
G. Love当时正将钱包迁移到一台新苹果电脑。他在App Store搜索"Ledger Live",找到了一款外观专业、图标正规的应用程序,随即下载安装。应用首次启动时,要求他输入24个助记词(seed phrase)以"恢复设备"。他照做了。
就在那一刻,地球另一端的某人获得了他全部比特币的完整控制权。
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
链上侦探ZachXBT追踪资金流向
事件发生后数小时,知名链上调查员ZachXBT迅速跟踪了资金走向:5.92枚BTC经过九笔独立交易,最终全部汇入KuCoin的充值地址。
我已追踪到你被盗的5.92枚BTC:所有资金均通过@kucoincom的充值地址进行了洗白处理。
——ZachXBT,2026年4月12日
资金追回几乎没有可能。KuCoin于2026年2月失去了欧盟MiCA框架下的欧洲经营许可证——距离其从奥地利获得该牌照仅三个月。ZachXBT指出,该交易所持续被非法服务利用,却未采取有效应对措施。这并非孤例:2025年,数字签名钓鱼攻击造成的损失同比暴增207%,早已预示加密行业正成为职业诈骗者的首选目标。
值得关注的是,KuCoin此前曾是中文用户圈中知名度较高的交易所。对于持有KuCoin账户的华语用户而言,此次事件提示了该平台在合规层面存在的隐患。
苹果审核机制的漏洞与沉默
这款恶意应用以第三方开发者名义上架,并非Ledger SAS官方发布,却通过了App Store的审核流程。苹果公司至今未发表任何声明,未确认是否已下架该应用,据ZachXBT透露,苹果甚至阻碍了外界公开记录这一事件的尝试。
苹果似乎不希望外界记录这一事实——它允许虚假应用出现在自己的App Store中。
——ZachXBT,2026年4月12日
这不是第一次发生类似事件。2023年,微软应用商店中出现的虚假Ledger应用造成了近60万美元的损失。平台审核机制的失职,在两大科技巨头身上均有前车之鉴。
对于使用苹果设备管理加密资产的用户而言,这起事件的警示意义格外突出:App Store的品牌背书并不等同于应用安全。
保护加密资产的基本规则
Ledger多年来一再强调:Ledger Live的唯一官方下载渠道是ledger.com,从不在任何应用商店上架。助记词只能在硬件设备本体上输入,绝不能在任何应用程序、浏览器或电脑屏幕上输入。任何软件界面要求你输入24个助记词,都是诈骗,无一例外。
Pudgy Penguins安全负责人Beau在事件曝光后数小时内发文指出:无论界面看起来多么专业,一台联网设备一旦要求你的24个助记词,就已经意味着被攻破。
- Ledger Live只从ledger.com官网下载,切勿使用搜索引擎结果或应用商店链接
- 助记词只能输入硬件设备实体按键,任何软件界面的输入请求均为诈骗
- 迁移钱包前,务必核实开发者身份是否为Ledger SAS
- 香港、新加坡等地的持牌交易所(如OSL、HashKey)对上架应用有更严格的审核,可作为参考标准
如果你使用硬件钱包,但对冷热钱包的区别尚不清晰,这篇指南从基础开始讲解,值得一读。
G. Love最后以少见的坦然结束了这段遭遇:"这是我自己的责任,因为我不够谨慎。但愿此事能成为一个警示。外面有太多骗局了。"
在X平台着力拦截新注册加密账户发布钓鱼内容的当下,这起事件再次证明:加密资产最大的漏洞,几乎从来不是技术层面的,而是人。
