Security2026年5月10日ZenRealm

假錢包應用程式:它們如何竊取你的助記詞

當人們想到假冒應用程式時,腦海中浮現的往往是某種明顯有問題的東西——粗糙的界面、拼寫錯誤、可疑的開發者名稱。但那些真正從真實用戶身上偷走數百萬美元的假錢包應用程式,完全不是那個樣子。它們看起來和真的一模一樣。

這個攻擊類別是有組織的、量產級別的。攻擊者仔細研究真實錢包的介面,一個像素一個像素地複製,通過偽造的評論和下載量製造可信度,再透過用戶已經習慣信任的渠道分發。2026 年 4 月的假冒 Ledger Live 事件中,超過 50 名用戶合計損失了 950 萬美元,其中三人各自損失超過 100 萬美元。那個應用程式在 App Store 上架六天才被下架,在那整段時間裡,它看起來和真品毫無分別。

假錢包如何出現在用戶面前

最常見的入口是應用程式商店的搜尋欄。用戶在 App Store 或 Google Play 裡輸入「MetaMask」或「Trust Wallet」或「Ledger Live」。真正的應用程式出現在結果中,假冒的也出現了,有時排在前面,有時就在下面一格。列表顯示著相似的圖示、相似的名稱、聽起來合理的開發者名稱,還有一批讀起來像真實用戶寫的評論。對於從未下載過這個應用程式的用戶來說,乍看之下往往沒有可靠的方式分辨。

搜尋廣告是另一個渠道。攻擊者購買 Google 廣告,針對「下載 MetaMask」或「Ledger 錢包應用程式」等搜尋詞。用戶點擊後,進入一個看起來像官方錢包網站的頁面,上面有一個下載連結,指向的就是假應用程式。網址可能只差了一個字元,但沒有特別注意的用戶根本不會察覺。

釣魚網站的操作方式相同。一條 Telegram 群組裡的訊息、一篇加密貨幣論壇上的帖子、一個在社交媒體上分享的連結,全都指向一個看起來像錢包服務商官方網站的頁面。網站看起來沒問題,下載連結有效,應用程式乾淨地安裝完成。一切都感覺正常,直到出現助記詞輸入畫面。

為什麼界面如此難以分辨

假冒錢包應用程式不需要完整運作,它只需要在引導流程的幾分鐘內,看起來能夠正常運作。攻擊者詳細研究真實應用程式的設置流程:每一個畫面、每一個按鈕、每一段文字。然後逐一複製。

結果就是一個在最初幾分鐘內與真品在功能上無從區分的應用程式。顏色一致,用語一致,流程一致。對於從未使用過真實應用程式的新手用戶來說,比較的基準根本不存在。

應用程式商店的審核流程設計用來偵測惡意程式碼,也就是那些能被自動或人工審核捕捉到的有害行為。它不是設計來偵測那些通過模仿其他應用程式介面來欺騙用戶的應用程式的。假冒錢包應用程式可以在程式碼完全乾淨的情況下通過審核,然後透過看起來完全正常的用戶界面作為釣魚工具運作。App Store 的上架資格賦予了一層表面上的合法性,而攻擊者正是因為用戶被教導要信任這一點才加以利用。

助記詞請求,就是攻擊本身

這裡有一個關鍵差異,可以區分真正的錢包設置和假冒的錢包設置。

當你第一次設置一個全新的加密貨幣錢包時,應用程式會生成一組助記詞並顯示給你看。你的任務是把它抄寫下來,存放在安全的地方。應用程式可能會要求你確認已經保存,有時會讓你重新輸入幾個詞來驗證。但它絕對不會要求你輸入一組已經存在於其他地方的助記詞。

錢包合理要求你輸入現有助記詞的唯一情況,是當你主動恢復一個之前設置好的錢包時——把它導入到新設備,或者在設備損壞後進行恢復。即便如此,這個請求也只應該在你主動發起這個流程時才出現。

假冒錢包應用程式在設置過程中就要求你提供助記詞,把它包裝成一個正常步驟——「導入你現有的錢包」或「恢復你的帳戶」或「驗證你的錢包以繼續」。對於已有錢包、正在嘗試通過新應用程式存取的用戶來說,這個請求感覺可能很合理。它不合理。你把助記詞輸入那個欄位的那一刻,它就被傳送到了攻擊者的伺服器。應用程式顯示的錢包甚至可能看起來正常加載了,資金被轉走可能是稍後,也可能是立即,取決於攻擊者如何操作。

助記詞請求不是設置流程的一個功能,它是這個應用程式存在的全部目的。

2026 年假冒 Ledger Live 事件

2026 年 4 月,一個假冒版本的 Ledger Live 應用程式出現在 Apple App Store 上。它以接近原版的名稱上架,顯示著 Ledger 的品牌識別,呈現的引導流程與真實應用程式足夠接近,讓持有 Ledger 硬體錢包的用戶試圖用它來存取自己的資金。

這個應用程式在 Apple 下架它之前,在 App Store 上存在了六天。在這個窗口期內,超過 50 名用戶輸入了自己的助記詞。損失總額約為 950 萬美元,三名用戶各自損失超過 100 萬美元。

這次攻擊之所以成功,不是因為受害者粗心大意,而是因為分發渠道——App Store——正是用戶被特別教導要視為可靠過濾器的地方。那個應用程式通過了那個過濾器,而那個過濾器並非為這種攻擊而設計。

關於這次事件的詳細報導,ZenRealm 另有兩篇文章。本文聚焦於那些事件所揭示的模式,因為假冒 Ledger Live 不是孤立案例。同樣的結構已被用於 MetaMask、Trust Wallet、Phantom、Exodus,以及所有其他主要錢包品牌。具體的應用程式在變,機制從未改變。

真正能保護你的是什麼

應用程式商店的排名無法驗證一個應用程式是否就是它自稱的那個東西。下載量和評論可以偽造,開發者名稱可以被設計得聽起來合法,視覺設計可以被完整複製。這些信號都不足以可靠地區分真實錢包應用程式和假冒品。

唯一持續有效的驗證方式,是直接前往錢包服務商的官方網站,從那裡找到下載連結。MetaMask 的官方網站連結到真正的 MetaMask 擴充功能和應用程式,Ledger 的官方網站連結到真正的 Ledger Live,Trust Wallet 的官方網站連結到真正的 Trust Wallet。從官方網站出發,就完全排除了搜尋結果中的不確定性。

還有一件事值得記住:如果任何應用程式在設置過程中要求你輸入助記詞,無論你在哪裡下載的,無論它看起來多正規,都先停下來。真正的錢包不需要你現有的助記詞才能開始使用。那個請求本身,就是你一直應該提防的東西。

BasicsSafetyBriefingPortfolioTools