App Store 裡的假錢包——「官方商店」不等於安全

2026 年 4 月 11 日，美國音樂人 G. Love 換了一台新電腦，打開 Mac App Store，搜尋他一直在用的 Ledger Live。他找到一個圖示熟悉的應用程式，下載，安裝，照提示輸入了 24 個字的助記詞。幾秒後，帳戶清零。積累十年的 5.9 枚比特幣，約 42 萬美元，消失了。那是他的退休金。不只是一個人這個假應用從 4 月 7 日起出現在 App Store，6 天後才被下架。期間，鏈上調查員 ZachXBT 追蹤到至少三名受害者各自損失逾 195 萬美元，其中一個錢包被清空 327 萬美元的 USDT。資金隨後流入逾 150 個 KuCoin 地址，透過混幣服務洗出。同月底，Kaspersky 確認 App Store 中存在至少 26 款假冒主流錢包的惡意應用，包括 MetaMask、Trust Wallet、Coinbase 等。部分應用初始偽裝成計算機或遊戲通過審核，啟動後才跳轉惡意頁面。為什麼 App Store 攔不住App Store 的審核是為了攔截惡意程式碼，不是為了判斷一個應用是否在用正常介面騙取你的資訊。假應用在審核時可以完全正常，啟動後才變臉。更根本的問題是：Ledger 官方從未在任何消費者應用商店上架 Ledger Live。App Store 裡任何聲稱是 Ledger 的應用，都不是官方軟體。在 App Store 搜尋到，不等於找到正版。助記詞輸入進去，就結束了助記詞是整個錢包的主密鑰，無法重設，沒有客服能幫你找回。正常使用硬件錢包，永遠不需要在任何應用或網站輸入助記詞——它只在設備本身初始化時出現一次，之後只應被寫在紙上，離線保存。任何要求你在螢幕上輸入助記詞的操作，幾乎可以確定是攻擊。一個可以養成的習慣下載錢包軟體之前，先去官方網站，從那裡找下載鏈接。在 App Store 頁面確認開發者名稱——Ledger 的官方開發者是「Ledger SAS」，其他名稱都不是官方應用。G. Love 事後說：「是我自己不夠謹慎。但願它能作為一個警示。」App Store 的存在，從來不是加密世界的安全保障。