Ledger 再爆個資外洩！供應鏈攻擊引發加密貨幣安全疑慮

根據區塊鏈安全研究員 ZachXBT 於 1 月 5 日（當地時間）披露，知名硬體錢包開發商 Ledger 再度遭遇顧客個資外洩事件，引發對其「供應鏈安全」的擔憂與討論。此次事件的源頭並非來自 Ledger 錢包本身，而是其外部支付合作夥伴 Global-e 系統遭駭，導致客戶姓名與聯絡方式等敏感資訊被洩漏。

根據 Ledger 官方說法，此次駭客事件未涉及硬體錢包安全機制，使用者資產未受波及，包括付款卡資訊、密碼、恢復助記詞（Recovery Phrase）與私鑰等關鍵資料均未外洩。然而過往經驗顯示，即使僅是聯絡資訊曝露也足以成為後續「網路釣魚攻擊（Phishing）」的跳板，對用戶造成長期心理壓力甚至財產損失。

事實上，Ledger 過去曾在 2020 年針對客戶名單洩漏事件飽受批評，當時逾 110 萬筆電子郵件、近 29 萬筆住址電話資訊曝光，至今仍有不法分子利用該資料從事詐騙與恐嚇行為。這突顯出，即便硬體本身毫無漏洞，「供應鏈攻擊」依然成為業界資安防護的一大破口。

評論：此次事件再次印證，在加密產業中，鏈外服務商如支付處理、客戶關係管理甚至分析平台，往往成為攻擊者首選目標──因其多數具備存取用戶資料的權限，卻不見得具備等同等級的資安防護。

根據 Ledger 與 Global-e 聲明，駭客透過異常行為入侵 Global-e 使用的雲端平台，目前已由第三方鑑識團隊介入調查。不過，在這起事件發生的前後幾天內，市場亦傳出多起相似駭客行為，包括 Trust Wallet 與 MetaMask 瀏覽器擴充套件遭利用竊取資產，及加密報稅平台 Koinly 因 Mixpanel 通報漏洞部分用戶電郵資料外洩。

尤其去年 12 月報導指出，Ledger 傳出其「Connect Kit」JavaScript 函式庫遭針對性植入惡意程式碼，導致部分去中心化應用（DApp）用戶約 50 萬美元資產被轉移──儘管錢包裝置本身未遭破壞，但這次事件突顯出「第三方應用整合」作為新型攻擊途徑的潛在風險。

延伸而言，駭客既已掌握用戶聯絡資訊，即便無法進行直接竊盜，也可透過假的援助郵件、載有惡意連結的貼文、實體郵寄等手段誘騙使用者輸入助記詞。Ledger 曾表示，2023 年 4 月有惡意份子偽造官方公告信件郵寄給用戶，引導其掃描 QR 碼並輸入恢復助記詞，最終造成匿名用戶資產被提領。

評論：隨著詐騙手法日益精巧，單靠防火牆或加密協議不足以防堵風險。唯有使用者接收資訊與操作時更為警覺，加上產業從業者強化對合作供應商的資安稽核，才可能在長期內降低潛在損害。

據資安研究報告指出，儘管 2025 年詐騙案例有望減少 83%，但隨市場行情回溫，攻擊意圖與頻率恐再上升。即使使用者本身設備安全無虞，但只要一筆電子郵件、電話或姓名資訊被掠取，就可能引發雪球般的後果。

🔁 關鍵詞：Ledger、個資外洩、供應鏈攻擊、加密貨幣安全、網路釣魚

🛡 建議使用者務必避免回應任何未經驗證的郵件或網站訊息。特別是助記詞應永久保密，切勿透過電子形式傳遞；此外，非官方站點提供的更新或安裝程序也應完全排除，以降低風險。加密資產保護，從最簡單的資訊管理開始。