关键洞察:
随着去年结束,加密货币世界面临了严峻的现实考验。
虽然硬件钱包是资产保护的黄金标准,但其生态系统始终处于攻击之中。
在过去的一年里,一系列涉及 Ledger 钱包的安全事件证明,数字币的安全性仅取决于其所有者留下的数据。
恶意行为者逐渐远离试图“黑掉”设备本身,而转而攻击处理订单的公司或用于支持的电子邮件。
今年对 Ledger 钱包用户隐私造成的最大冲击来自一家名为 Global-e 的供应商。
这家公司担任 Ledger 官方商店国际销售的“商户记录人”。1月5日,有消息称 Global-e 的云系统遭到入侵。
社区提醒:Ledger 通过支付处理器 Global-e 发生了另一场数据泄露,泄露了客户(的姓名和其他联系信息)。
今天早些时候,客户收到了以下电子邮件。pic.twitter.com/RKVbv6BTGO
— ZachXBT (@zachxbt) 2026年1月5日
此次黑客攻击曝光了数千名客户的姓名、邮寄地址和电话号码。幸运的是,没有涉及私钥或恢复短语。
硬件本身依然在技术上是安全的,但用户的“曝光”引发了一波新的恐惧。
像 ZachXBT 这样的安全研究人员警告说,泄露实体地址对高价值持有者来说是噩梦。当罪犯确切知道一位富有投资者的住址时,威胁从数字世界转向实体世界,这通常被称为“扳手攻击”。
去年早些时候,Ledger 联合创始人 David Balland 在法国曾遭遇暴力绑架和勒索事件。
攻击者在社交工程策略上变得更加富有创意,尤其是在2025年。
由于他们无法破解钱包内的“安全元件”芯片,他们转而欺骗使用者。一个常见的方法涉及 Ledger Recover 服务。
这是一个帮助用户找回丢失的种子短语的可选工具。然而,骗子利用这一点作为钩子。他们发送假冒电子邮件,声称用户的“身份验证”出现问题。
这些邮件看起来官方,促使用户在一个假冒的门户网站输入他们的24个单词助记符。
2023年的“Connect Kit”漏洞仍在困扰用户。攻击者越来越多地利用最初泄露的数据发起更多的钓鱼攻击。
到目前为止,他们针对曾使用 SushiSwap 或 Revoke.cash 等去中心化应用(dApps)的人群。攻击方式已从简单的资金转移脚本转变为“授权型”攻击。
这些骗局诱导用户签署一笔交易,授予诈骗合约对特定代币的无限访问权限。
由于这些攻击看似与 DeFi 协议的正常交互,许多用户因此上当。
事实上,去年的 Ledger 安全报告显示,全球因加密钓鱼而损失超过$84 百万。
这些受害者中很大一部分甚至是因为他们的联系信息在过去几年被泄露而成为目标。
一旦用户的电子邮件被列入“受骗者名单”,他们就会成为诈骗者多年来的目标。
