假 Ledger Live 應用程式安全事件

發生了什麼: 2026 年 4 月 7 日至 13 日，一個假冒 Ledger Live 的惡意應用出現在 Apple App Store，在被下架之前存在了約兩週。這個應用由一個名為「Leva Heal」的空殼開發者帳號發布，與 Ledger 官方毫無關係，但外觀與真實應用幾乎一模一樣。超過 50 名用戶下載後，在應用要求下輸入了自己的助記詞——錢包隨即在幾分鐘內被清空。總損失超過 950 萬美元，涵蓋 Bitcoin、Ethereum、Solana、Tron 及 XRP。其中三名受害者各自損失超過百萬美元。一位美國音樂人在社交媒體上寫道：「我把攢了十年的比特幣都存在裡面，全部不見了。」 這個事件說明了什麼 App Store 的審核機制並不能保證每一個應用都是安全的。攻擊者利用的不是代碼漏洞，而是用戶對平台的信任。他們知道，當一個應用出現在 Apple App Store，大多數人會把「在 App Store 上架」等同於「官方認證、可以信任」——這正是這個騙局的核心邏輯。值得注意的是，真正的 Ledger Live 官方應用從未在 Mac App Store 上架，它只能從 Ledger 官方網站下載。但大多數受害者並不知道這一點。 作為用戶，你應該知道

任何 Web3 相關應用，在下載前先去官方網站確認正確的下載渠道 任何應用要求你輸入助記詞，都應該立即停止——合法的應用永遠不會要求這樣做 開發者名稱是重要的驗證點，要與官方公布的一致 App Store 上架不等於官方認可，更不等於安全

你的助記詞是你資產的唯一鑰匙。任何需要它的地方，都是危險的地方——無論那個地方看起來多麼官方、多麼可信