本质新闻

苹果公司确认已下架一款假冒Ledger自托管加密货币钱包的恶意应用，该应用通过“诱饵转换”策略欺骗用户安装并泄露种子短语，导致超50名用户合计损失950万美元。涉事开发者“SAS Software Company”已被终止苹果应用商店账号。链上分析显示，损失主要集中在三名用户，分别损失323万美元USDT、200万美元USDC及195万美元BTC、ETH和stETH。美国音乐人Garrett Dutton（艺名G. Love）也确认损失42万美元比特币。苹果称2024年已移除或拒绝逾1.7万款类似欺诈应用，且长期打击此类骗局，但此类诈骗手段日益复杂，凸显用户需自行验证第三方平台应用的重要性。

联发科（MediaTek）于2026年1月5日修复了一个影响其芯片组的安全漏洞，该漏洞可能允许攻击者通过USB线缆和特定软件窃取受影响设备上的加密货币种子短语。该漏洞由Ledger旗下白帽安全团队Donjon发现，并在修复前向联发科通报。攻击者可在无需启动Android系统的情况下，45秒内提取设备PIN码、解密存储并获取Trust Wallet、Base、Kraken Wallet等主流钱包的种子短语。约25%的安卓手机使用联发科芯片与Trustonic可信执行环境（TEE），易受此漏洞影响。Ledger敦促用户更新安全补丁，但表示不预期该问题持续存在。研究指出，智能手机因设计初衷为便...