Ledger Live钓鱼攻击事件：苹果官方商店下载的钱包还安全吗?

美国费城音乐人加勒特·达顿（Garrett Dutton），艺名G. Love，是G. Love & Special Sauce乐队的主唱，他在X上发帖说，自己十年攒下的比特币退休储蓄，整整5.92枚BTC，一夜之间全没了。

事情发生在2026年4月初，他刚买了新Mac电脑，想把Ledger硬件钱包重新配对，就在苹果官方Mac App Store里搜“Ledger Live”，跳出来的那款App界面、图标、描述看起来和正版一模一样，他下载、打开，按照提示输入了24个单词的助记词，输完没多久，链上资产直接归零。

达顿不是唯一受害者

链上调查员ZachXBT在Telegram频道和X上发文指出，2026年4月7日至13日短短一周内，同一款假冒Ledger Live App至少坑了50多名用户，总损失超过950万美元，受害者涉及比特币、以太坊、Solana、Tron、XRP等多条链，资金被快速转到150多个KuCoin充值地址，再通过一个叫AudiA6的中心化混币器洗钱，几乎追不回来。

假App的开发者名字叫“Leva Heal Limited”，也有报道提到“SAS Software Company”，App名称故意写成“LeddgerLĭve”这种带明显拼写错误的版本，居然还是通过了苹果的审核，上架期间还有好几条假五星好评，说“超级顺畅”、“值得信赖”。

真正的Ledger Live从来不会让你在软件里输入硬件钱包的助记词，官方反复强调！助记词只能在Ledger硬件设备本地输入，任何联网电脑、手机都不该碰，一旦输入就等于把私钥直接交给黑客。

这已经不是第一次了

2023年微软应用商店就上架过一模一样的假Ledger Live，还有安全公司发现过专门针对macOS的恶意软件，会偷偷把你电脑里正版的Ledger Live替换掉，然后弹出一个假界面诱导你输入助记词，苹果这次又翻车，让很多人开始质疑！大厂的应用商店真的安全吗？

ZachXBT甚至发现，自己想用urlscan.io分析这个假App的页面时，竟然被Apple直接挡住，返回HTTP 400错误，他公开质疑苹果的审核机制到底是怎么回事。

后续处理

苹果已经在4月13日前后把这款假App下架了，但损失已经造成，多数受害者资金被混币器处理，基本追不回来，KuCoin方面回应称正在配合调查，但具体进展还没公开，更多受害者正在陆续站出来，社区里讨论热度很高。

这件事给所有用硬件钱包的朋友敲响了警钟

1、别再迷信“官方应用商店就一定安全”，苹果、微软、Google都翻车过。

2、涉及钱的软件，尤其是钱包管理工具，只去官网下载Ledger官网是ledger.com，下载前一定要核对网址，确认是HTTPS并且没有多余字符。

3、硬件钱包的助记词，永远不要在任何联网设备上输入，哪怕界面再像正版，也别信。

4、新电脑/新设备初始化时，最好用官网直接下载安装包，或者用手机热点+官网验证。

5、开启2FA、用硬件钱包时保持离线操作、定期检查已安装App的开发者信息，这些小习惯能大大降低风险。

加密世界里，资产安全从来不是“别人帮你守”，而是自己一步步筑墙，一次输入助记词的失误，就可能把十年心血清零。