假 Ledger Live 应用程序安全事件

发生了什么: 2026 年 4 月 7 日至 13 日，一个假冒 Ledger Live 的恶意应用出现在 Apple App Store，在被下架之前存在了约两周。这个应用由一个名为「Leva Heal」的空壳开发者账号发布，与 Ledger 官方毫无关系，但外观与真实应用几乎一模一样。超过 50 名用户下载后，在应用要求下输入了自己的助记词——钱包随即在几分钟内被清空。总损失超过 950 万美元，涵盖 Bitcoin、Ethereum、Solana、Tron 及 XRP。其中三名受害者各自损失超过百万美元。一位美国音乐人在社交媒体上写道：「我把攒了十年的比特币都存在里面，全部不见了。」 这个事件说明了什么 App Store 的审核机制并不能保证每一个应用都是安全的。攻击者利用的不是代码漏洞，而是用户对平台的信任。他们知道，当一个应用出现在 Apple App Store，大多数人会把「在 App Store 上架」等同于「官方认证、可以信任」——这正是这个骗局的核心逻辑。值得注意的是，真正的 Ledger Live 官方应用从未在 Mac App Store 上架，它只能从 Ledger 官方网站下载。但大多数受害者并不知道这一点。 作为用户，你应该知道

任何 Web3 相关应用，在下载前先去官方网站确认正确的下载渠道 任何应用要求你输入助记词，都应该立即停止——合法的应用永远不会要求这样做 开发者名称是重要的验证点，要与官方公布的一致 App Store 上架不等于官方认可，更不等于安全

你的助记词是你资产的唯一钥匙。任何需要它的地方，都是危险的地方——无论那个地方看起来多么官方、多么可信。