硬件钱包制造商 Ledger 的安全团队近期揭露,搭载联发科(MediaTek)芯片的 Android 手机存在重大硬件漏洞。攻击者只需 45 秒的实体接触,即可窃取设备 PIN 码与加密货币钱包助记词,估计全球有高达 25% 的安卓手机受影响。
(前情提要:小心!Clawdbot 配置不当恐藏重大安全漏洞:有用户加密钱包遭洗劫一空)
(背景补充:Trust Wallet 钱包爆重大安全漏洞!切勿汇入助记词并儘速升级 2.69,失窃金额至少 600 万美元)
本文目录
Toggle
知名硬件钱包制造商 Ledger 的内部安全团队,近期揭露了一项可能严重威胁数字资产安全的硬件级别漏洞。Ledger 旗下的白帽骇客研究单位 Donjon 发现,搭载联发科(MediaTek)处理器的 Android 手机韧体中,存在一项危险的安全缺陷。这项漏洞允许攻击者在极短的时间内,直接提取设备的 PIN 码以及多个主流加密货币软件钱包的私钥。
这项漏洞的核心在于联发科的安全启动链(secure boot chain)弱点。研究团队指出,只要攻击者能够实体接触到受害者的手机,便能在操作系统载入前通过 USB 连接设备。接着,攻击者可提取保护 Android 全盘加密的加密密钥,并在离线状态下进行解密。
更令人担忧的是,整个攻击过程只需约 45 秒即可完成。研究人员估计,这项漏洞可能影响全球高达 25% 的 Android 手机,特别是那些采用联发科芯片与 Trustonic 可信执行环境(TEE)的设备型号。
为了证明该漏洞的严重性,Donjon 团队进行了概念验证(PoC)测试。结果显示,包含 Trust Wallet、Kraken Wallet 以及在 Solana 生态广受欢迎的 Phantom 钱包,其敏感的钱包数据与助记词皆被成功窃取。
针对这项发现,Ledger 技术长 Charles Guillemet 强调,智能手机从未被设计成金库。他指出,如果用户将加密货币存放在手机上,其安全性仅取决于设备中最脆弱的一环。团队公开这项研究的目的,是为了让业界有时间在恶意行为者利用之前修补缺陷。虽然该漏洞可以通过软件修补,但团队仍强烈建议所有用户,应尽速更新联发科与手机制造商提供的最新安全修补程序。
这份研究报告发布之际,正值骇客针对用户钱包发动大规模攻击的高峰期。根据区块链情报公司 TRM Labs 的数据显示,在 2025 年上半年被盗的 21 亿美元中,高达 80% 以上源自于私钥盗窃与助记词外泄等基础设施攻击。
此外,Chainalysis 的数据也指出,2024 年全年的加密货币盗窃损失超过 34.1 亿美元。其中,个人钱包遭入侵的比例呈现爆发性成长,从 2022 年的 7.3% 暴增至 2024 年的 44%,受害案件超过 15.8 万起。这些惊人的数据再次突显了将大额资产存放在非专用硬件设备上的巨大风险。
