Ledger 數據外洩引爆詐騙攻擊潮：用戶需警惕假「助記詞」陷阱

根據 Ledger 官方公告，由於第三方合作夥伴發生資安事故，導致用戶資訊外洩，近來針對 Ledger 用戶的精密「詐騙攻擊」激增。雖然硬體錢包本身具備高度安全性，但這起事件凸顯，即使是安全設備也可能因周邊漏洞讓使用者暴露於風險之中。

根據 Decrypt 報導，於 24 日（當地時間），電子商務解決方案提供商 Global-e 於今年年初發生資安事故。該公司負責 Ledger 官方網站部分交易的客戶資訊處理與商品配送服務，導致包括用戶姓名、連絡方式、收貨地址、產品名稱與購買記錄在內的真實資料遭到外洩。

這些資訊成為詐騙者的武器，用以製造「看起來可信」的社交工程攻擊。例如詐騙訊息可能引用用戶過去的產品訂單資訊，如：「您訂購的 Nano 錢包出現配送問題」、「請立即點擊此連結進行安全更新」，或引導用戶輸入包含自有資產金鑰的「24 字恢復助記詞」。Ledger 強調，即使訊息內提到正確產品名稱或價格，也無法證明其為官方發送。

本次資料洩漏事件中受影響的資訊，包括產品種類、購買金額、姓名、電子郵件、聯絡電話與地址等基本識別資料。Ledger 澄清本次事件不影響硬體錢包、軟體錢包、助記詞或帳戶餘額。然而，這類用戶資料本身即可用來進行針對性極高的詐騙。用戶回報指，他們接收到聲稱訂單異常、要求帳號驗證或提供安全補丁的騙局郵件與簡訊。

評論：此次攻擊的危險之處，在於詐騙者不再仰賴技術漏洞，而是利用日常交易資訊編造可信的情境，進而引導受害者自願洩露重要私密資料，顯示人為因素常是資安最大破口。

為抵禦這類詐騙，Ledger 重申最重要的原則是：「24 字恢復助記詞絕不可於 Ledger 裝置以外的任何地方輸入。」該公司提醒，用戶切勿因伺服器更新、訂單遭取消等理由，在任何連結中填寫敏感資料。此外，詐騙訊息可能透過電子郵件、簡訊、電話甚至實體信件傳送，攻擊手法亦越發高度擬真。

這並非 Ledger 客戶資料首次外洩。早於 2020 年 7 月，Ledger 電子商務與行銷資料庫就曾遭到入侵，超過 100 萬筆電子郵件與約 27 萬筆包含姓名、地址、聯絡電話的用戶資料外洩，最終更被張貼於暗網。

評論：硬體錢包技術雖安全，但從交易到配送的每一道商業環節，皆有可能成為資訊外洩的來源。唯有用戶自身熟悉數位資產安全原則，才能在漏洞難以預測的現實條件下，盡量避免成為詐騙目標。

Ledger 建議使用者面對任何異常訊息，都應回到其官方網站或使用官方客服管道查驗真偽，切勿憑訊息中內容與自身情況相符，即判斷為真。這正是詐騙手法與以往最大的差異，也是社交工程攻擊中最具危險的部分。

在加密資產領域，技術層面安全不代表整體防線穩固。任何被洩漏的一項資料，都可能成為詐騙者所利用的破口。請務必謹記：「助記詞即是資產」，一旦外洩資產恐將永久失去。