一款伪造的 Ledger Live macOS 应用在 Apple 的 App Store 上架,在本月的短短几天内就从 50 名用户那里窃走了约 950 万美元的加密货币。
下载了假冒 Ledger 应用的用户被诱导输入助记词或恢复短语,导致攻击者获得对钱包的完全控制权,并能将用户的数字资产转移到攻击者控制的外部地址。
区块链调查员 ZachXBT 表示,攻击者通过多个钱包地址在多条区块链上接收资金,涉及比特币、以太坊、Tron、Solana 和 Ripple。
被盗资金随后通过 KuCoin 上的 150 多个充值地址进行洗钱,这些地址与一个名为“AudiA6”的中心化混币服务有关,该服务以高额费用为代价为用户清洗加密货币。
调查人员发现三名最大的受害者在 4 月 8 日至 4 月 11 日之间分别损失了约 323 万、208 万和 195 万美元。
根据一则 Reddit 帖子,这款伪造的应用以“Leva Heal Limited”名义提交到苹果 App Store,但该账户与真实的 Ledger 开发团队无关。
恶意行为者还伪造了版本更新记录,每隔几天就发布一个重大版本,在短短两周内从 1.0 跳到 5.0。
在多位用户举报后,苹果已将该伪造的应用从 App Store 下架,但在下架之前已有 50 名用户合计损失了 950 万美元。
值得注意的是,Ledger 在其官网上提供了 Mac 版应用,但在 Apple App Store 中只有适用于 iOS 的版本可用,Mac 版并未上架。
BleepingComputer 已向苹果寻求对此事的说明,但目前尚未得到回应。
