新聞 
幣種資訊 
關於我們 
硬體錢包商 Ledger 驚傳資料外洩,遭精心設計釣魚詐騙波及
硬體錢包業者 Ledger 日前再度爆發資安事件,客戶個資遭揭露後成為精心設計詐騙的目標。根據 The Block 於 1 月 24 日(當地時間)的報導,此次風波源自其電子商務合作夥伴 Global-e 發生資料外洩事故,駭客利用洩漏資訊製作仿真的個人化詐騙郵件,誘導用戶點擊惡意連結,導致資產面臨風險。
駭客假借「Ledger 與 Trezor 合併」名義寄出釣魚信
駭客大規模發送偽造郵件,聲稱 Ledger 將與同業硬體錢包商 Trezor 進行「策略性合併」,主張升級後的服務將更為安全。郵件內容誘導使用者進行「錢包遷移(Migration)」,要求輸入包含 24 個單字的「復原詞組」,進而竊取錢包控制權。需要注意的是,這項「復原詞組(Recovery Phrase)」是解鎖錢包與資產的唯一密鑰,一旦外洩,資金將完全落入攻擊者手中。
Ledger 於 1 月 5 日主動通知客戶,指出合作的第三方賣家 Global-e 系統遭入侵,導致客戶姓名、電子郵件、電話與訂單資訊等資料外洩。事件爆發後數小時,社群平台 X 上就出現大量相關詐騙郵件截圖,顯示攻擊手法迅速擴散。
Ledger、Global-e 啟動聯合調查,強調控制損害範圍
目前 Global-e 已展開內部調查,並與資安專家合作釐清資訊外洩規模。雖尚未公開具體受害人數,Global-e 表示外洩資訊僅限於聯絡與訂單資料。Ledger 則已通報當地資料保護監管機關,並與執法單位保持合作,以防損害進一步擴大。
值得注意的是,Ledger 先前亦曾遭遇重大資安事件。2020 年,其行銷資料庫遭駭,導致數十萬用戶個資外流,引發大量釣魚信與勒索恐嚇。後續更查明事件與 Shopify 一名內部員工有關,他將超過兩萬筆客戶資料外洩。當年年底,有高達 29 萬 2 千筆資料最終流入暗網。
惡意 Wallet Drainer 事件再添變數,Ledger 連番捲入安全爭議
Ledger 近期也遭遇另一起資安事故。其開源 JavaScript 函式庫遭駭客植入惡意「錢包抽水機(Wallet Drainer)」,導致數名去中心化應用(DApp)用戶共損失約 60 萬美元(約新台幣 870 萬元)等值加密貨幣。該惡意模組影響層面廣泛,由於多款 DApp 共用該函式庫,潛在風險迄仍持續發酵。Ledger 已對漏洞進行修補,並表示將持續保護受影響用戶。
評論:儘管硬體錢包向來被視為最安全的加密資產存取方式,唯一風險往往來自「用戶錯誤行為」。詐騙若取得「復原詞組」,即能直接控制用戶資產,再高的隔離防線也將失效。
總結與提醒:保護帳戶安全,從辨識詐騙做起
本次事件凸顯硬體錢包用戶防詐意識薄弱的潛在風險。建議用戶牢記以下原則:
- 請勿在網路任何地方輸入或分享「復原詞組」
- 接獲要求「錢包遷移」「驗證安全性」等需求時,務必至官方網站或客服核實通知真偽
- 提供個資前應仔細檢查網域與來源,詐騙郵件常以混淆地址進行誘導
加密業界必須正視,即使是被視為「最安全」的硬體錢包,在資訊管理與合作模式上仍存在破口。無論官方系統如何安全,最脆弱的環節仍是「人」。唯有強化使用者教育與識詐意識,才能避免類似災難一再重演。
關鍵詞:Ledger、Trezor、釣魚詐騙、復原詞組、硬體錢包、資安外洩、Global-e、加密貨幣安全、Wallet Drainer
評論:在加密資產愈加主流、人們逐漸依賴自主管理錢包的趨勢下,這起事件顯示加密業界需重新檢討「使用者體驗是否等於安全體驗」的觀念。硬體錢包雖然提供技術保障,但需搭配完善的風險溝通與教育引導,才能真正守住用戶資產。
留言 0