新聞 
幣種資訊 
關於我們 
根據 Cointelegraph 報導,於 13 日(當地時間),一名巴西的資安研究員發出警告,指出市場上出現專門鎖定「*自我託管(self-custody)*」用戶的「*假冒 Ledger(레저) 硬體錢包*」詐騙。這類攻擊結合「*供應鏈攻擊*」、「*惡意應用程式*」與「*授權詐騙*」,手法日益精細,正動搖用戶對「*硬體錢包*」安全性的信任。
這名研究員在 Reddit「ledgerwallet」版上,以帳號「Past_Computer2901」分享自身遭遇。他表示,自己在中國的線上市場,以接近官方定價購買了一台「Ledger Nano S Plus」硬體錢包。從外盒包裝到商品頁面設計,都與「*正品 Ledger 裝置*」高度相似。然而,當他將裝置連接至官方管理程式「Ledger Live」時,卻在「*真偽檢查(Genuine Check)*」程序中遭到拒絕,才意識到這是一台偽造產品。
進一步拆解後,他發現裝置內部的「*硬體與韌體*」均遭到篡改,甚至暗藏「Wi-Fi 與藍牙天線」。這代表攻擊者可能企圖在使用者毫不知情的情況下,進行遠端通訊與資料竊取,讓使用者誤以為資產安全保存在「*冷錢包*」,實際上卻已暴露於網路攻擊風險中。
這種「*假 Ledger 裝置*」的詐騙特別鎖定「*首次使用硬體錢包*」的用戶。受害者若依照盒內附帶的 QR Code 操作,會被導向下載「*惡意版本的 Ledger Live*」。攻擊者會在這個偽造環境中,設計一個能輕易通過的假「Genuine Check」,誘導用戶安心地輸入自己的「*助記詞(Seed Phrase,復原詞句)*」。一旦「助記詞」被竊取,攻擊者便能在任意時間,將受害者的「*比特幣(BTC)*」、「*以太幣(ETH)*」等各類資產全部轉走。
*評論*:這類攻擊的關鍵在於「*信任鏈的第一步*」被破壞——也就是購買與安裝的起點出問題,後續所有安全設計都等於形同虛設。
該研究員強調,防範這類攻擊最根本的方式,是「*只從官方渠道下載與購買*」。他呼籲用戶務必「只在官方網站 ledger.com 下載 Ledger Live,並僅透過 ledger.com 或官方授權通路購買硬體錢包」,避免經由不明電商平台或第三方賣家取得裝置,以降低遭遇「*供應鏈攻擊*」風險。
近期,圍繞「*硬體錢包*」與「*自我託管*」的安全事件不斷升級,手法早已不再侷限於一般釣魚郵件或假網站,而是深入到「*應用程式發佈管道*」及「*裝置供應鏈*」。本月稍早,蘋果 App Store 上就曾出現「*假 Ledger Live 應用程式*」,吸引超過 50 名使用者下載並輸入自己的「助記詞」,累積損失金額約為 950 萬美元,事件曝光後該應用程式才遭到下架。
*評論*:即便是被視為相對嚴格的 App Store 審核機制,仍可能讓惡意應用溜過,顯示「*依賴平台審核*」已不足以保障資產安全,用戶必須主動建立「*來源驗證*」的習慣。
業界觀察指出,隨著「*自我託管*」逐漸成為長期持幣者與機構投資人偏好的存儲方式,攻擊者也把重心轉向這一族群,利用其對「*硬體錢包*」的高度信任與對技術細節的不熟悉,設計出更具欺騙性的「*供應鏈與假應用程式*」攻擊。從購買硬體、開箱驗證、下載管理軟體,到輸入「*助記詞*」的每一個步驟,都成為駭客可以下手的環節。
這起「假 Ledger 裝置」事件,再次提醒市場:「*離線儲存並非萬靈丹*」。如果一開始取得的就不是「*真正的硬體錢包*」,而是專為繞過「真偽檢查」設計的「*偽造裝置*」,那麼所謂的「冷儲存」只是一種「*安全幻覺*」。對於「*比特幣(BTC)*」、「以太幣(ETH)」及其他加密資產持有者而言,除了重視私鑰不連網之外,更應在「*購買管道*」、「*首次安裝流程*」與「*真偽驗證*」等環節,建立一套嚴格的自我檢查流程,才有機會真正降低資產被盜的風險。
留言 0