App Store 里的假钱包——"官方商店"不等于安全

2026 年 4 月 11 日，美国音乐人 G. Love 换了台新电脑，打开 Mac App Store，搜索他一直使用的 Ledger Live。他找到一个图标熟悉的应用，下载，安装，按提示输入了 24 个词的助记词。几秒后，账户清零。积累十年的 5.9 枚比特币，约 42 万美元，消失了。那是他的退休储蓄。不只是一个人这个假应用从 4 月 7 日起出现在 App Store，6 天后才被下架。期间，链上调查员 ZachXBT 追踪到至少三名受害者各自损失逾 195 万美元，其中一个钱包被清空 327 万美元的 USDT。资金随后流入逾 150 个 KuCoin 地址，通过混币服务洗出。同月底，Kaspersky 确认 App Store 中存在至少 26 款假冒主流钱包的恶意应用，包括 MetaMask、Trust Wallet、Coinbase 等。部分应用初始伪装成计算器或游戏通过审核，启动后才跳转恶意页面。为什么 App Store 拦不住App Store 的审核是为了拦截恶意代码，不是为了判断一个应用是否在用正常界面骗取你的信息。假应用在审核时可以完全正常，启动后才变脸。更根本的问题是：Ledger 官方从未在任何消费者应用商店上架 Ledger Live。App Store 里任何声称是 Ledger 的应用，都不是官方软件。在 App Store 搜索到，不等于找到正版。助记词输入进去，就结束了助记词是整个钱包的主密钥，无法重置，没有客服能帮你找回。正常使用硬件钱包，永远不需要在任何应用或网站输入助记词——它只在设备初始化时出现一次，之后只应写在纸上，离线保存。任何要求你在屏幕上输入助记词的操作，几乎可以确定是攻击。一个可以养成的习惯下载钱包软件之前，先去官方网站，从那里找下载链接。在 App Store 页面确认开发者名称——Ledger 的官方开发者是「Ledger SAS」，其他名称都不是官方应用。G. Love 事后说："是我自己不够谨慎。但愿它能作为一个警示。" App Store 的存在，从来不是加密世界的安全保障。