堆代码讯 近日，苹果 macOS App Store 曝出一起严重的安全事件：一款假冒的 Ledger Live 加密货币钱包应用，成功绕过了平台的审核机制上架，最终导致 50 名用户被骗走了总计约 950 万美元的加密资产。这起事件也再次引发了外界对 App Store 审核体系安全性的广泛质疑。

骗局始末：官方商店里的恶意应用

加密货币领域的安全风险一直居高不下，恶意分子总是想方设法窃取用户的钱包资金，而这一次，他们把目标瞄准了苹果的官方应用商店。2026 年 4 月，一款名为 “Ledger Live” 的应用出现在了 macOS App Store 上，它的发布者显示为 “Leva Heal”，但这个主体，和真实 Ledger Live 应用的开发者 Ledger SAS 毫无关系，彻头彻尾是一个假冒的恶意应用。

据安全媒体 BleepingComputer 的报道，这款恶意应用完美伪装成了官方的加密钱包工具，成功欺骗了 50 名 macOS 用户。它诱导用户输入了自己的钱包种子短语和恢复短语 —— 这是加密钱包的核心备份信息，一旦泄露，恶意分子就可以直接转走用户钱包里的所有资金。仅仅几天时间，这些用户的资产就被洗劫一空。在 4 月 8 日到 4 月 11 日这短短三天里，就有三名受害者损失惨重，每人的被盗金额都超过了 100 万美元，分别达到 323 万美元、208 万美元和 195 万美元。直到苹果最终将这款恶意应用从 App Store 下架之前，窃贼已经总共盗走了约 950 万美元的加密资产。

洗钱路径：KuCoin 冻结涉案账户

区块链调查员 ZachXBT 披露了窃贼后续的洗钱路径：诈骗者使用了多个钱包地址，接收了来自受害者的比特币、以太坊、波场币、Solana、瑞波币等多种加密货币。随后，这些资金被拆分转移，通过 KuCoin 平台上的 150 多个存款地址进行洗白，整个过程还借助了一个名为 “AudiA6” 的专业洗钱服务。不过，KuCoin 平台已经迅速做出了反应，冻结了涉嫌参与这次洗钱的相关账户。根据目前的信息，这些账户的冻结期限到 4 月 20 日，除非执法当局要求延长冻结期限，而从目前的调查进展来看，延长冻结的可能性很大。

不过 KuCoin 本身也一直深陷监管争议：就在 2026 年 2 月，奥地利的监管机构刚刚禁止该平台接收欧盟地区的新用户；而在 2025 年，KuCoin 就已经因为违反反洗钱规定，和美国当局达成了和解，支付了超过 3 亿美元的罚款。

官方警告：24 词恢复短语绝不能泄露

针对这起事件，Ledger 的首席技术官 Charles Guillemet 也紧急发出了安全警告，他强调，真正的 Ledger Live 应用，“绝不会要求你提供 24 个单词” 的恢复短语。“如果有人或任何应用要求你提供这 24 个单词，请假设出了问题，”Guillemet 补充道，“唯一有效的保护措施，是将你的私钥保存在带有安全屏幕的专用硬件设备上，比如 Ledger 的签名器，并且绝不要在任何应用或网站中输入你的种子短语。”

这里提到的 24 个单词，就是 Ledger 的 24 词恢复短语，也就是用户的种子短语：它是用户在初始化硬件钱包时生成的唯一单词列表，相当于用户私钥的主备份，一旦泄露，就意味着钱包里的所有资产都不再受自己控制。

不过，对于大多数 Mac 和加密货币用户来说，其实不需要过度恐慌。这次事件里，只有 50 名用户被骗，而 Ledger Live 平台在全球拥有超过 150 万的活跃用户，绝大多数用户都没有受到影响。

AppleInsider 也专门提醒用户：如果你之前从 macOS App Store 下载过这款假冒的 Ledger Live 应用，一定要立刻将它删除。而真正的 Ledger Live macOS 应用，现在已经改名为 Ledger Wallet，用户只能从 Ledger 的官方网站下载，这也是最安全的获取渠道，避免从第三方平台或者应用商店下载到假冒应用。
截至目前，苹果尚未对这起事件发表任何评论，按照以往的情况，苹果大概率也不会对此做出公开回应。这起事件也再次提醒用户：即便是官方的应用商店，也并非绝对安全，在下载涉及加密货币这类敏感应用的时候，还是要提高警惕，优先从官方渠道获取，避免落入诈骗的陷阱。