ZachXBT称，苹果应用商店中一款虚假的Ledger应用在一周内从50多名受害者那里盗取了950万美元

• ZachXBT将苹果App Store上一个假冒Ledger Live应用窃取的950万美元与据称150多个Kucoin充值地址联系起来。
• 音乐人G. Love损失了近6枚比特币；4月7日至13日期间，损失最严重的3名受害者每人损失金额均达七位数。
• 苹果最终已将该虚假应用从App Store下架。

ZachXBT发现：假冒Ledger Live iOS应用在被苹果下架前已洗钱950万美元

ZachXBT于4月14日（周二）在X平台发布了调查结果，详细说明了该假应用如何在4月7日至13日期间，通过比特币、EVM、波场、Solana和瑞波网络对50多名用户实施诈骗。苹果公司在他发帖的前一天已下架该应用。

损失最严重的三大受害者各自损失了七位数金额。一名用户于4月9日损失了323万美元的USDT；第二名受害者于4月11日损失了207.9万美元的USDC；第三名受害者于4月8日损失了价值195万美元的加密货币，其中包括20.64枚BTC、211枚stETH和70枚ETH。

受骗者中还包括艺名G. Love的音乐人加勒特·达顿（Garrett Dutton），他因该假应用损失了近6枚BTC。ZachXBT指出，AudiA6是用于转移赃款的中心化混币服务。

他描述称，AudiA6是一家收取高额手续费来处理非法资金的服务商，并指控被盗资金曾流经与该服务相关的Kucoin充值地址。这位调查员还声称，在此次Ledger相关盗窃案发生前的几天里，另一名威胁行为者曾通过25个以上的Kucoin充值地址，将Bitcoin Depot事件中盗取的350万美元进行洗钱。

在X平台，当Kucoin官方账号发布了一条随机的A&B投票帖后，ZachXBT决定通过指责回应。“C) 想向社区解释一下，为什么Kucoin允许威胁行为者在过去一周内，通过150多个Kucoin充值地址洗钱950多万美元，这些资金与一个虚假的Ledger应用有关？”ZachXBT问道。这位链上调查员补充道：

“就在那之前几天，另一名威胁行为者还曾通过25多个Kucoin充值地址，洗钱350多万美元，这些资金源自Bitcoin Depot事件。你们纵容了滥用KYC的即时交易，并放任AudiA6等实体——一个供非法行为者自由运作的中心化混币器——肆意妄为。Kucoin理应再次遭到监管机构的调查。”

当Kucoin的官方X账号回应争议，要求提供用户ID和工单号以调查此事时，ZachXBT回复了一张婴儿身份证的照片，暗示该交易所的“了解你的客户”（KYC）验证流程存在漏洞。

截至发稿时，Kucoin尚未就这些具体指控作出公开回应。要求提供UID和工单号的回复很可能是来自客服人员。 ZachXBT表示，这一情况可能为针对苹果公司（因托管该欺诈应用）提起集体诉讼提供依据。ZachXBT公布的被盗地址涉及多个区块链，包括比特币、以太坊、波场、Solana和瑞波，并指明了与每位受害者关联的具体钱包。

这款假冒的Ledger Live应用出现在苹果App Store上，引发了更广泛的质疑：恶意软件是如何通过苹果的审核流程的？以及在被下架前它能运行多长时间？

Ledger首席技术官查尔斯·吉勒梅特（Charles Guillemet）在向Bitcoin.com News发布的声明中强调，该公司绝不会索要助记词。“Ledger绝不会要求您提供24个单词。如果任何人或任何应用要求您提供这24个单词，请认为情况有异，”吉勒梅特解释道。“Ledger一直都在提醒社区这一点。 您无法信任周围的软件环境——无论是浏览器、应用商店还是桌面系统。攻击者会利用任何可乘之机，这包括官方分发平台。唯一的有效防护措施是将私钥保存在配备安全屏幕的专用硬件设备上（如Ledger Signer），并且绝不在任何应用或网站中输入助记词。这24个单词就是您的钱包，”这家硬件钱包公司的CTO补充道。