苹果应用商店现假冒钱包，音乐家比特币被盗42万

核心提要：知名音乐人加勒特·达顿因下载伪装成Ledger Live的恶意Mac应用，导致5.92枚比特币被窃，价值约42万美元。事件暴露苹果应用审核机制漏洞，攻击者利用用户对官方平台的信任实施精准钓鱼。

音乐人遭恶意应用劫持，42万美元比特币被迅速转移

一位知名音乐创作者在使用苹果Mac应用商店时，误下载并安装了一款仿冒的Ledger Live桌面钱包程序，其后在配置过程中输入了个人恢复短语，致使全部5.92枚比特币在几分钟内被转移到攻击者控制的地址。

虚假界面模仿极致，用户信任成最大突破口

该欺诈性软件以高度还原的真实Ledger Live界面进行伪装，包括品牌色彩、图标布局及初始化流程，使用户难以察觉其非官方性质。更关键的是，它在启动阶段诱导用户输入24词恢复短语——这一行为本身即违反了硬件钱包的基本安全原则，真正产品从不通过桌面端索取此类敏感信息。

资金快速分拆洗钱，最终锚定至KuCoin关联地址

区块链追踪显示，被盗资产经历了九次跨链转移，逐步分散至多个由同一团伙操控的钱包地址。最终资金流入与KuCoin交易所基础设施存在明确关联的存储节点，表明攻击方已部署成熟洗钱路径，意图将赃币转化为可流通资产。

平台监管失效，同类事件接连发生

这并非首例通过主流应用商店传播的加密钱包诈骗案。2023年，微软数字商店也曾出现假冒Ledger应用，造成近60万美元损失。此类重复性漏洞揭示出当前应用分发平台在开发者身份验证与内容审查环节存在系统性薄弱点。

强化安全意识，恢复短语绝不可外泄

专家一致强调，任何设备上输入恢复短语均属高危操作，即便界面看似正规也应保持警惕。随着网络钓鱼技术日益复杂，攻击者正广泛借助付费推广、伪装邮件和权威平台背书等手段扩大攻击覆盖面。本事件再次凸显用户教育与平台风控机制双重缺失的问题。