Security2026年5月10日ZenRealm

假钱包应用程序:它们如何窃取你的助记词

当人们想到假冒应用程序时,脑海中浮现的往往是某种明显有问题的东西——粗糙的界面、拼写错误、可疑的开发者名称。但那些真正从真实用户身上偷走数百万美元的假钱包应用程序,完全不是那个样子。它们看起来和真的一模一样。

这个攻击类别是有组织的、量产级别的。攻击者仔细研究真实钱包的界面,一个像素一个像素地复制,通过伪造的评论和下载量制造可信度,再透过用户已经习惯信任的渠道分发。2026 年 4 月的假冒 Ledger Live 事件中,超过 50 名用户合计损失了 950 万美元,其中三人各自损失超过 100 万美元。那个应用程序在 App Store 上架六天才被下架,在那整段时间里,它看起来和真品毫无分别。

假钱包如何出现在用户面前

最常见的入口是应用程序商店的搜索栏。用户在 App Store 或 Google Play 里输入「MetaMask」或「Trust Wallet」或「Ledger Live」。真正的应用程序出现在结果中,假冒的也出现了,有时排在前面,有时就在下面一格。列表显示着相似的图标、相似的名称、听起来合理的开发者名称,还有一批读起来像真实用户写的评论。对于从未下载过这个应用程序的用户来说,乍看之下往往没有可靠的方式分辨。

搜索广告是另一个渠道。攻击者购买 Google 广告,针对「下载 MetaMask」或「Ledger 钱包应用程序」等搜索词。用户点击后,进入一个看起来像官方钱包网站的页面,上面有一个下载链接,指向的就是假应用程序。网址可能只差了一个字符,但没有特别注意的用户根本不会察觉。

钓鱼网站的操作方式相同。一条 Telegram 群组里的消息、一篇加密货币论坛上的帖子、一个在社交媒体上分享的链接,全都指向一个看起来像钱包服务商官方网站的页面。网站看起来没问题,下载链接有效,应用程序干净地安装完成。一切都感觉正常,直到出现助记词输入画面。

为什么界面如此难以分辨

假冒钱包应用程序不需要完整运作,它只需要在引导流程的几分钟内,看起来能够正常运作。攻击者详细研究真实应用程序的设置流程:每一个画面、每一个按钮、每一段文字。然后逐一复制。

结果就是一个在最初几分钟内与真品在功能上无从区分的应用程序。颜色一致,用语一致,流程一致。对于从未使用过真实应用程序的新手用户来说,比较的基准根本不存在。

应用程序商店的审核流程设计用来侦测恶意代码,也就是那些能被自动或人工审核捕捉到的有害行为。它不是设计来侦测那些通过模仿其他应用程序界面来欺骗用户的应用程序的。假冒钱包应用程序可以在代码完全干净的情况下通过审核,然后透过看起来完全正常的用户界面作为钓鱼工具运作。App Store 的上架资格赋予了一层表面上的合法性,而攻击者正是因为用户被教导要信任这一点才加以利用。

助记词请求,就是攻击本身

这里有一个关键差异,可以区分真正的钱包设置和假冒的钱包设置。

当你第一次设置一个全新的加密货币钱包时,应用程序会生成一组助记词并显示给你看。你的任务是把它抄写下来,存放在安全的地方。应用程序可能会要求你确认已经保存,有时会让你重新输入几个词来验证。但它绝对不会要求你输入一组已经存在于其他地方的助记词。

钱包合理要求你输入现有助记词的唯一情况,是当你主动恢复一个之前设置好的钱包时——把它导入到新设备,或者在设备损坏后进行恢复。即便如此,这个请求也只应该在你主动发起这个流程时才出现。

假冒钱包应用程序在设置过程中就要求你提供助记词,把它包装成一个正常步骤——「导入你现有的钱包」或「恢复你的账户」或「验证你的钱包以继续」。对于已有钱包、正在尝试通过新应用程序访问的用户来说,这个请求感觉可能很合理。它不合理。你把助记词输入那个栏位的那一刻,它就被传送到了攻击者的服务器。应用程序显示的钱包甚至可能看起来正常加载了,资金被转走可能是稍后,也可能是立即,取决于攻击者如何操作。

助记词请求不是设置流程的一个功能,它是这个应用程序存在的全部目的。

2026 年假冒 Ledger Live 事件

2026 年 4 月,一个假冒版本的 Ledger Live 应用程序出现在 Apple App Store 上。它以接近原版的名称上架,显示着 Ledger 的品牌识别,呈现的引导流程与真实应用程序足够接近,让持有 Ledger 硬件钱包的用户试图用它来访问自己的资金。

这个应用程序在 Apple 下架它之前,在 App Store 上存在了六天。在这个窗口期内,超过 50 名用户输入了自己的助记词。损失总额约为 950 万美元,三名用户各自损失超过 100 万美元。

这次攻击之所以成功,不是因为受害者粗心大意,而是因为分发渠道——App Store——正是用户被特别教导要视为可靠过滤器的地方。那个应用程序通过了那个过滤器,而那个过滤器并非为这种攻击而设计。

关于这次事件的详细报道,ZenRealm 另有两篇文章。本文聚焦于那些事件所揭示的模式,因为假冒 Ledger Live 不是孤立案例。同样的结构已被用于 MetaMask、Trust Wallet、Phantom、Exodus,以及所有其他主要钱包品牌。具体的应用程序在变,机制从未改变。

真正能保护你的是什么

应用程序商店的排名无法验证一个应用程序是否就是它自称的那个东西。下载量和评论可以伪造,开发者名称可以被设计得听起来合法,视觉设计可以被完整复制。这些信号都不足以可靠地区分真实钱包应用程序和假冒品。

唯一持续有效的验证方式,是直接前往钱包服务商的官方网站,从那里找到下载链接。MetaMask 的官方网站链接到真正的 MetaMask 扩展和应用程序,Ledger 的官方网站链接到真正的 Ledger Live,Trust Wallet 的官方网站链接到真正的 Trust Wallet。从官方网站出发,就完全排除了搜索结果中的不确定性。

还有一件事值得记住:如果任何应用程序在设置过程中要求你输入助记词,无论你在哪里下载的,无论它看起来多正规,都先停下来。真正的钱包不需要你现有的助记词才能开始使用。那个请求本身,就是你一直应该提防的东西。

BasicsSafetyBriefingPortfolioTools