新聞 
幣種資訊 
關於我們 
根據《Cointelegraph》於 13 日(當地時間)的報導,區塊鏈分析師 *ZachXBT* 公開指出,一款冒充「詞Ledger Live」的「詞假錢包應用」出現在「詞Apple App Store」,自 4 月 7 日至 13 日期間,已對超過 50 名使用者造成約 950 萬美元(約新台幣逾億元級)「詞加密貨幣」損失。這款惡意應用鎖定「詞比特幣(BTC)」、「詞以太幣(ETH)」、「詞Solana(SOL)」、「詞Tron(TRX)」等多條主流公鏈使用者,衝擊面相當廣泛。
根據 ZachXBT 於 13 日在 Telegram 頻道發布的追蹤結果,被盜資金已透過超過 150 個「詞KuCoin」充值地址進行分散與洗錢,他進一步將這些資金流向鏈接到疑似「詞中心化混幣服務」的「詞Audi A6」相關地址。報導指出,截至發稿,Apple 與 KuCoin 尚未就此事件發表官方聲明,目前「詞實際損失金額」與「詞受害人數」仍主要依賴 ZachXBT 的鏈上調查結果。
目前已知「詞最大三起個案」損失尤為慘重。一名受害者同時遺失「詞比特幣(BTC)」、「詞質押以太幣(stETH)」與「詞以太幣(ETH)」,合計約 195 萬美元資產;另一名受害者則在 4 月 9 日遭盜走約 323 萬美元的「詞泰達幣(USDT)」。此外,4 月 11 日還出現一起約 200 萬美元「詞USDC」被轉走的案例,顯示攻擊者並未只鎖定單一資產種類,而是有計畫地橫掃多種穩定幣與主流幣種。
針對這起「詞假Ledger Live」事件,「詞Ledger」首席技術長(CTO)Charles Guillemet 接受《Cointelegraph》訪問時強調,Ledger 官方「詞從不會要求用戶輸入 24 個單字的『詞錢包恢復助記詞』」,並直言「瀏覽器不能完全信任,應用商店不能完全信任,桌面環境也不能完全信任」。他提醒使用者,即便是看起來「詞官方」或「詞高度正規化」的下載管道,也不代表絕對安全,任何要求輸入完整助記詞的介面都應直接視為「詞高風險警訊」。
此次攻擊並非孤立案例。就在前一日,美國音樂人 Garrett Dutton(藝名「G. Love」)也公開表示,自己因在 Apple App Store 下載到惡意應用並輸入「詞種子短語」,導致約 42 萬美元的「詞比特幣(BTC)」被轉出。他的遭遇進一步印證,即便是「詞官方應用商城」這類長期被視為相對安全的入口,也已成為「詞攻擊者」鎖定的滲透目標。
評論
此事件凸顯兩個關鍵風險:其一,「詞品牌仿冒」與「詞假錢包應用」正從網頁、釣魚郵件,延伸到大型應用商店平台,用戶原本仰賴的平台審核機制,已無法作為唯一安全依據;其二,當攻擊者結合「詞多鏈資產支援」與「詞中心化混幣服務」,一旦私鑰或助記詞外洩,資金幾乎難以挽回。對加密貨幣投資人而言,最關鍵的自保原則仍是:官方硬體錢包與軟體錢包「詞永不在任何應用或網站輸入完整助記詞」,且安裝前務必透過「詞官方網站」與「詞官方社群」交叉驗證下載來源。
留言 0