新聞 
幣種資訊 
關於我們 
根據 CoinDesk 的報導,於 7 日至 13 日(當地時間),一款假冒「詞Ledger Live」的惡意應用程式透過「詞Apple」官方「詞App Store」流通,導致至少約 950 萬美元(約 139 億 8,400 萬韓元)的「詞加密貨幣」資產被盜。不少受害者表示,連辛苦存下的「詞退休金」與畢生積蓄都在短時間內被洗劫一空。
這起事件發生在 4 月上旬,多條公鏈與多種資產遭殃,包括「詞比特幣(BTC)」、「詞以太幣(ETH)」、「詞波場幣(TRX)」、「詞Solana(SOL)」、「詞瑞波幣(XRP)」等。至少 50 名以上用戶下載並安裝了誤以為是官方版本的「Ledger Live」假冒 app,在新裝置設定或錢包導入過程中,依指示輸入「詞助記詞/恢復片語」,結果錢包完全控制權遭到攻擊者盜取。
其中一個典型案例,是 X 平台用戶「@glove」。這名投資人於新電腦設定時下載了假 app,隨後損失約 5.9 顆比特幣,按當時市價約合 8 億 6,900 萬韓元。這幾乎是他 10 年來累積的全部資產。他哀嘆自己「退休資金在瞬間化為烏有」,凸顯本次攻擊的殘酷程度。
區塊鏈分析師 ZachXBT(잭XBT)追蹤「詞鏈上數據」後發現,被盜的 5.92 顆 BTC 迅速被分拆、經過多次轉帳,最終流入「詞KuCoin」(庫幣) 交易所的某個入金地址。這種分散轉移、快速洗碼的資金流向模式,與本次整體攻擊活動中其他受害錢包的「詞資金洗白」軌跡高度一致。
這並非單一事件,而是「詞多鏈」上展開的「詞有組織釣魚攻擊」行動。多筆大型轉出紀錄顯示,受害者之中最大三筆損失分別為約 323 萬美元(約 47 億 5,400 萬韓元、以 USDT 計價)、約 208 萬美元(約 30 億 6,200 萬韓元、以 USDC 計價),以及約 195 萬美元(約 28 億 7,000 萬韓元,以 BTC、ETH 與 stETH 等多種資產組合計算),總損失金額極為驚人。
攻擊手法本身卻異常「傳統」:透過偽裝成官方 app,引導使用者主動輸入「詞恢復片語」,屬於標準的「詞社交工程」與「詞釣魚攻擊」模式。只要助記詞一旦洩露,錢包所有權等同拱手讓人,且無法撤回或凍結;駭客會在極短時間內將資產轉出至外部地址,再一路分拆轉移,讓追查難度大幅提升。
ZachXBT 進一步指出,被盜資金多經過逾 150 個以上的 KuCoin 入金地址,不斷拆分與重組,並與一個名為「詞AudiA6」的中心化「詞混幣服務」存在關聯。這種服務以收取高額手續費為代價,替用戶模糊資金流向,成為洗白贓款的重要一環。「評論:AudiA6 這類中心化混幣服務之所以受到不法資金青睞,正是因為其在合規灰色地帶運作,既難以完全監管,又具備相當高的流動性與出入金便利性。」
「詞KuCoin」近年亦因「詞監管」與「詞合規」問題屢受關注。2025 年,該交易所因違反「詞反洗錢(AML)」規定,向美國監管機構繳納超過 3 億美元罰款;而根據報導,至 2026 年 2 月起,KuCoin 已被奧地利主管機關禁止再向「詞歐盟(EU)」境內新增用戶提供服務。這次假 Ledger 事件中,大量贓款經 KuCoin 相關地址流動,更讓其在監管與風險控制方面再度成為輿論焦點。
對於外界質疑,「詞Apple」雖已在事後將這款假冒「Ledger Live」app 自 App Store 下架,但這款惡意程式究竟「詞如何通過審核」、上架了多久、下載量有多少,至今仍缺乏透明說明。由於這是透過「詞官方應用商店」發生的加密資產損失,平台責任問題浮上檯面。
ZachXBT 研判,本案不排除發展為「詞集體訴訟」,受害者可能以「Apple 未能盡到合理審查義務」為由,尋求法律途徑求償。未來在司法攻防上,「詞平台責任邊界」、加密錢包相關 app 的「詞審核標準」與「詞風險告知義務」,都有機會成為爭論焦點。「評論:若法院認定官方商店對於假錢包 app 負有較高審查義務,恐將改寫全球科技平台在加密產業中的責任基準。」
這起假 Ledger 事件,再次揭示「詞加密貨幣市場」長期存在的「詞安全脆弱性」。據行業統計,光是 2025 年一年,全球因「詞駭客攻擊」與「詞詐騙」造成的損失就高達約 170 億美元,其中很大比例來自釣魚網站、偽造應用程式與社交工程等手法。
對於受害者而言,損失已難以挽回。一名用戶透露,自己被盜的資金是「10 年來一點一滴存下來的錢」,並一再提醒其他投資人務必提高警覺,切勿在任何 app 或網站中輸入助記詞,只能在線下妥善保管實體備份。「評論:在去中心化世界裡,‘自我保管’同時意味著‘自負風險’;只要助記詞一旦曝光,再安全的冷錢包與再嚴謹的資產配置,也抵擋不了人為疏忽。」
留言 0