美國音樂人誤信假 Ledger(레저) 錢包 App　5.92 枚比特幣(BTC) 退休金一夜被騙光

美國音樂人遭「假 Ledger(레저) 錢包」詐騙　5.92 枚比特幣(BTC) 一夜歸零

根據 Cointelegraph 於 13 日（當地時間）的報導，美國音樂人 Garrett Dutton（加勒特·達頓）因誤信蘋果 App Store 上一款假冒「레저(Ledger)」錢包應用程式，將退休準備金全部轉入，結果 5.92 枚比特幣(BTC)、約 42.4 萬美元資產在輸入「詞」後瞬間被轉走，引發對「蘋果審核機制」與「官方錢包安全性」的廣泛質疑。

達頓是樂團 G.Love & Special Sauce 的主唱，他在管理個人「數位資產」時，下載了一款名稱標記為「LeddgerLĭve」的應用程式。表面上這款 App 與正版「Ledger Live」極為相似，圖示與介面也足以迷惑一般使用者。達頓在應用程式內輸入 24 個單字組成的「詞」（Seed Phrase，錢包恢復助記詞）後，隨即發現自己保存在冷錢包中的加密貨幣全數消失，隨後他在 X 平台發文求助，表示這是其長年累積的「退休金」。

「詞」是用來恢復錢包、掌控資產的關鍵資訊，一旦在「惡意應用程式」或「釣魚網站」中輸入，就等同將完整控制權交給攻擊者。這起事件凸顯「只要詞外流，資產即失控」的殘酷事實，也讓許多持有比特幣(BTC) 與其他「數位資產」的投資人再度警覺。

在鏈上追蹤方面，知名「鏈上調查員」ZachXBT（잭XBT）表示，他追蹤這筆從達頓錢包被轉出的比特幣(BTC) 流向，發現資金被快速拆分並經過至少 9 個不同地址，再流入中心化交易所「庫幣(KuCoin)」。這種多層轉移與分散手法，通常用於「混淆資產來源」，屬於典型洗錢路徑。

評論：

這種利用「假 App + 詞」的攻擊模式，成本低、成功率高，且在受害者發現前往往已被多次拆分轉移，讓後續追討與凍結難度極高。

然而 ZachXBT 也指出，雖然部分資金流向已被確認，但在「中心化交易所」環節，若平台對可疑資金的反應不夠積極、缺乏即時凍結與通報機制，實務上很難挽回損失。外界過去就多次批評部分交易所在「凍結疑似駭客資金」方面態度保守，使得追討空間有限。這次事件再次把焦點拉回「交易所責任」與「平台合規監管」的討論。

硬體錢包公司 Ledger（레저）則出面澄清，強調官方應用程式只能透過「Ledger.com」或官方認證管道下載，並呼籲使用者務必核對網址與開發者資訊，切勿搜尋後隨意點擊下載。Ledger 也再三提醒，「詞」絕不能輸入任何「連網裝置上的第三方 App 或網站」，更不應拍照、畫面截圖或以雲端備份保存。

與此同時，蘋果（Apple）方面尚未就這起「假冒錢包 App」通過審核一事發表正式聲明。由於 App Store 一向以「嚴格審核」與「安全性」作為賣點，這次有惡意應用程式成功上架，讓不少用戶在 X 上質疑「App Store 的信任門檻正在崩壞」。外界關注蘋果是否會檢討審核流程、調整對「加密貨幣相關應用程式」的安全標準。

評論：

當官方應用商店不再被視為「絕對安全」，一般使用者在下載「錢包」、「匯率查詢」或「投資工具」時，恐怕必須採取與「下載電腦執行檔」同等嚴格的自保標準，否則一個誤判就足以造成數十萬美元級別的損失。

這起事件也引來加密貨幣社群另一層面的反思：即便使用「冷錢包」這種理論上更安全的存儲方式，只要「在連網裝置上輸入詞」這一步做錯，冷錢包的安全優勢就會瞬間歸零。有安全專家指出，真正符合「冷錢包精神」的作法，是讓詞「永不接觸網路」，包括不透過手機或電腦螢幕輸入，而是直接在硬體錢包本體上操作。

近年來，「假投資面板」、「釣魚推播通知」、「假客服通話」等加密貨幣詐騙手法在全球層出不窮，從散戶到專業交易員皆可能中招。這次達頓的案例顯示，問題不僅出在「個人資安意識」，也涉及「平台審核機制」與「生態系監管責任」。

在比特幣(BTC) 與其他「數位資產」逐漸邁向主流、成為退休金與家庭資產配置一部分之際，只依賴「官方標章」或「App Store 上架」作為安全判準，風險已顯得過於單薄。未來，如何在「使用者友善」與「深度驗證」之間取得平衡，將是硬體錢包廠商、應用商店與監管機構都必須面對的課題。

評論：

投資人要記住幾個底線：

- 詞永遠不輸入任何「新下載」或「來源不明」的 App

- 官方網址務必手動輸入或透過書籤開啟，不依賴搜尋結果

- 大額資產分散保管，避免單一錢包失守造成致命打擊

當「比特幣(BTC) 等數位資產」儼然成為新一代財富工具，「安全操作習慣」本身，也正逐漸成為一種必要的金融素養。