Ledger Donjon เปิดเผยช่องโหว่ของ MediaTek ที่สามารถดึงรหัส Seed ของกระเป๋าเงิน Android ได้ภายในเวลาไม่ถึง 45 วินาที ส่งผลกระทบต่ออุปกรณ์นับล้าน CVE-2025-20435.
Ledger Donjon ค้นพบช่องโหว่ร้ายแรงของ MediaTek ซึ่งอนุญาตให้แฮกเกอร์ดึงรหัส Seed ของกระเป๋าเงินจากโทรศัพท์ Android ได้ภายในไม่กี่วินาที โดยไม่จำเป็นต้องเปิดเครื่อง
Charles Guillemet ซึ่งโพสต์ในชื่อ @P3b7_ บน X ได้เปิดเผยผลการค้นพบนี้อย่างเป็นทางการ เขายืนยันว่า @DonjonLedger ได้ค้นพบข้อบกพร่องที่มีผลกระทบรุนแรงอีกครั้ง ตามที่ Guillemet กล่าวบน X ข้อมูลผู้ใช้ รวมถึง PIN และรหัส Seed สามารถถูกดึงออกมาได้ภายในเวลาน้อยกว่าหนึ่งนาที แม้แต่จากอุปกรณ์ที่ปิดเครื่องอยู่ก็ตาม
ความสำคัญอยู่ที่จำนวนผู้ได้รับผลกระทบ มีอุปกรณ์ Android นับล้านที่ใช้โปรเซสเซอร์ MediaTek Trustonic’s Trusted Execution Environment ก็ถูกกระทบเช่นกัน
โทรศัพท์ของคุณปิดเครื่องก็ไม่มีผลแล้ว
ตามที่ Guillemet ทวีตบน X ทีม Ledger Donjon เชื่อมต่อ Nothing CMF Phone 1 เข้ากับแล็ปท็อป ภายใน 45 วินาที ความปลอดภัยพื้นฐานของโทรศัพท์ก็ถูกทำลาย ไม่มีการตั้งค่าที่ซับซ้อน ไม่มีฮาร์ดแวร์พิเศษ เพียงแค่เชื่อมต่อแล็ปท็อปและตั้งเวลา
อ่านเพิ่มเติม: ภัยคุกคามด้านความปลอดภัยของคริปโตเพิ่มขึ้นอย่างรวดเร็วในปี 2026
ช่องโหว่นี้ไม่เคยแตะต้อง Android เลย ขณะที่ Guillemet โพสต์บน X การโจมตีสามารถกู้ PIN ถอดรหัสข้อมูลในอุปกรณ์ และดึงรหัส Seed จากกระเป๋าเงินซอฟต์แวร์ยอดนิยม ทั้งหมดนี้เกิดขึ้นก่อนที่ระบบปฏิบัติการจะโหลด
นี่ไม่ใช่ช่องว่างเล็กน้อย แต่มันคือความล้มเหลวเชิงโครงสร้าง
ปัญหาสถาปัตยกรรมชิปที่ไม่มีใครอยากยอมรับ
ชิปทั่วไปมักแลกความปลอดภัยเพื่อความเร็วและความสะดวก Guillemet กล่าวในทวิตบน X ว่า Secure Element ที่ออกแบบมาเพื่อเก็บความลับโดยแยกออกจากส่วนอื่นของอุปกรณ์นั้นเป็นสิ่งสำคัญ แต่ชิป MediaTek ไม่ได้สร้างมาแบบนั้น Trustonic’s TEE ทำงานอยู่ภายในชิปเดียวกันที่จัดการงานประจำวัน การเข้าถึงทางกายภาพสามารถทำลายขอบเขตนี้ได้
นี่ไม่ใช่ครั้งแรกที่นักวิจัยตั้งคำถามเกี่ยวกับความปลอดภัยของสมาร์ทโฟนสำหรับผู้ใช้คริปโต มันยังคงเป็นปัญหาเดียวกันคือช่องว่างในสถาปัตยกรรม ระหว่างชิปความสะดวกสบายกับชิปความปลอดภัย ซึ่งไม่ใช่สิ่งเดียวกัน
การเปิดเผยอย่างรับผิดชอบและการแก้ไข
Ledger Donjon ไม่ได้เปิดเผยช่องโหว่นี้ต่อสาธารณะโดยไม่มีการแจ้งเตือน ตามที่ Guillemet ยืนยันบน X ทีมงานได้ปฏิบัติตามกระบวนการเปิดเผยอย่างรับผิดชอบกับผู้ขายที่เกี่ยวข้อง MediaTek ยืนยันว่าได้ให้การแก้ไขแก่ OEM เมื่อวันที่ 5 มกราคม 2026 ช่องโหว่นี้ได้รับการระบุในฐานข้อมูล CVE-2025-20435 แล้ว
อ่านเพิ่มเติม: Ledger มองหาเข้าจดทะเบียนในนิวยอร์ก ขณะที่การแฮ็กกระเป๋าเงินคริปโตพุ่งสูงขึ้น
OEM ได้รับการแก้ไขแล้ว แต่ยังไม่แน่ใจว่าการอัปเดตเหล่านี้ถึงผู้ใช้ปลายทางหรือไม่ ปัญหาการแตกแยกของ Android เป็นปัญหาที่แท้จริง อุปกรณ์เก่า ๆ จากผู้ผลิตรายเล็กมักไม่ได้รับการอัปเดตเป็นเวลาหลายเดือน
ทำไมกระเป๋าเงินซอฟต์แวร์ถึงได้รับผลกระทบ
รหัส Seed ที่เก็บไว้ในกระเป๋าเงินซอฟต์แวร์จะอยู่ภายในอุปกรณ์ ขึ้นอยู่กับความปลอดภัยของชิปด้านล่าง เมื่อชิปนั้นล้มเหลว ทุกอย่างด้านบนก็ล้มเหลวตามไปด้วย
Guillemet สรุปในทวิตบน X ด้วยความชัดเจนว่า การวิจัยนี้ไม่ได้ทำขึ้นเพื่อสร้างความกลัว แต่เพื่อให้วงการสามารถแก้ไขช่องโหว่ก่อนที่แฮกเกอร์จะเข้าถึง จุดนี้เป็นช่วงเวลาที่ปิดไปแล้ว อย่างน้อยสำหรับช่องโหว่นี้โดยเฉพาะ
เกี่ยวข้อง: กระเป๋าเงินข้ามแพลตฟอร์มเริ่มยากต่อการตรวจจับมากขึ้น
กระเป๋าเงินซอฟต์แวร์บน Android มีความเสี่ยงนี้เสมอ ช่องโหว่ของ MediaTek เพียงแค่เป็นการวัดความเสี่ยงนี้เท่านั้น ใช้เวลาเพียง 45 วินาทีเท่านั้น
btc.bar.articles
ผู้โจมตีสร้างเหรียญ DOT มูลค่า 1B และเทขายสำหรับ $237K ETH
เหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับเวอร์ชัน ERC-20 ของ Polkadot บน Ethereum ทำให้เกิดความกังวล โดยเน้นถึงความเสี่ยงของสินทรัพย์แบบห่อหุ้มและข้ามสายโซ่ ผู้โจมตีใช้ประโยชน์จากช่องโหว่เพื่อสร้างเหรียญ DOT จำนวน 1 พันล้านเหรียญและเทขายทิ้ง ทำให้ตลาดพังทลาย และชี้ให้เห็นถึงความเปราะบางในการจัดการสัญญาอัจฉริยะ
Coinfomania31 นาที ที่แล้ว
ดาราเพลง G. Love สูญเสียบิตคอยน์ 5.9 ในการหลอกลวงสุดช็อกจาก App Store
_นักดนตรี G. Love สูญเสีย 5.9 BTC จากแอป Ledger ปลอมที่หลอกลวง ทำให้เกิดความกังวลอย่างร้ายแรงเกี่ยวกับความปลอดภัยของคริปโตกำและการรับรู้ของผู้ใช้ทั่วโลก._
การหลอกลวงครั้งใหญ่ด้านคริปโตได้ส่งผลกระทบต่อ Garrett Dutton ซึ่งเป็นที่รู้จักอย่างกว้างขวางในชื่อ G. Love นักร้องชาวอเมริกันรายนี้สูญเสียบิตคอยน์ 5.9 เหรียญ มูลค่าเกือบ 420,000 การสูญเสียเกิดขึ้นเมื่อเขา t
LiveBTCNews32 นาที ที่แล้ว
Aave ตกอยู่ในวิกฤตความเชื่อมั่นอย่างหนัก: ผู้ให้บริการพากันแห่ย้ายออกจากระบบอย่างพร้อมเพรียง «เทคโนโลยี การกำกับดูแล และการบริหารความเสี่ยง» ล้มเหลวทั้งหมด
ผู้เขียน: Jae, PANews
เมื่อเทียบกับแรงกดดันภายนอกจากตลาดหมี ภายใน Aave กลับมี “นกแบล็กสวอน” เกิดขึ้นก่อน
Aave ซึ่งครองบัลลังก์ของโปรโตคอลการให้กู้ยืมมาระยะยาว กำลังเผชิญกับแรงสั่นสะเทือนของระบบนิเวศที่รุนแรงที่สุดนับตั้งแต่ก่อตั้ง ไม่ได้มีการโจมตีโดยแฮกเกอร์ ไม่ได้มีช่องโหว่ในโค้ด มีเพียงการควบคุมอำนาจที่หลุดมือและผลประโยชน์ที่แตกแยก
ตั้งแต่การจากไปอย่างเด็ดขาดของผู้สนับสนุนหลักด้านเทคโนโลยี BGD Labs ไปจนถึงการประกาศแตกหักต่อสาธารณะของ ACI (Aave Chan Initiative) ผู้บุกเบิกด้านการกำกับดูแล และต่อด้วยการประกาศยุติความสัมพันธ์ของ Chaos Labs ผู้ดูแลด้านความเสี่ยง การ “ถอนตัวครั้งใหญ่” ของผู้ให้บริการกำลังเกิดขึ้น
ความลึกของเกมนี้ลึกเกินกว่าความขัดแย้งด้านความร่วมมือทั่วไป มันได้กระตุ้นให้เกิดสิ่งที่…
区块客1 ชั่วโมง ที่แล้ว
Polkadot ประสบการโจมตีผ่านบริดจ์ ผู้โจมตีสร้างเหรียญ $DOT 1B บน Ethereum
Polkadot เผชิญการละเมิดความปลอดภัยครั้งใหญ่ โดยผู้โจมตีได้สร้างเหรียญ 1B $DOT บน Ethereum ผ่านบริดจ์ของบุคคลที่สาม ซึ่งทำให้สูญเงินมากกว่า $240,000 ใน $ETH เหตุการณ์นี้สะท้อนให้เห็นถึงช่องโหว่ที่ยังคงมีอยู่ในโครงสร้างพื้นฐานแบบข้ามสายโซ่ และผลกระทบต่อเสถียรภาพของตลาด
BlockChainReporter1 ชั่วโมง ที่แล้ว
Circle ซีอีโอ: เนื่องจากเหตุขโมย USDC จากเหตุแฮกเกอร์ของ Drift ที่ยังไม่ถูกระงับตาม "ภาวะที่กลืนไม่เข้าคายไม่ออกทางศีลธรรม"
ประธานเจ้าหน้าที่บริหารของ Circle อย่าง Jeremy Allaire ได้ตอบสนองต่อคำวิจารณ์เกี่ยวกับการที่ไม่ได้มีการแช่แข็ง USDC ที่ถูกขโมย ในระหว่างการแถลงข่าว โดยยืนยันว่าจะมีการแช่แข็งกระเป๋าเงินก็ต่อเมื่อได้รับคำสั่งจากหน่วยงานบังคับใช้กฎหมายเท่านั้น นอกจากนี้ เขากล่าวว่า Circle กำลังติดต่อสื่อสารกับหน่วยงานนิติบัญญัติของสหรัฐฯ เพื่อหวังสร้างกลไก “safe harbor” สำหรับผู้ออกเหรียญเสถียร
GateNews2 ชั่วโมง ที่แล้ว
หญิงวัย 50 ปีในฮ่องกงถูกหลอกด้วยการคบหากันออนไลน์ เสียหายมากกว่า 2 ล้านหยวน ผู้หลอกอ้างตัวว่าเป็นผู้เชี่ยวชาญด้านการลงทุนสกุลเงินดิจิทัล
ตำรวจฮ่องกงเปิดเผยคดีฉ้อโกงการลงทุนด้วยสกุลเงินดิจิทัล โดยมีหญิงคนหนึ่งถูกหลอกบน Instagram สูญเสียมากกว่า 2 ล้านหยวน ผู้กระทำแอบอ้างเป็นผู้เชี่ยวชาญด้านการลงทุน หลอกให้เธอโอนเงิน และให้ทำการโอนหลายครั้งพร้อมแลกเงินสดเป็นจำนวนครั้งๆ ตำรวจเตือนว่าเมื่อใช้งานเครือข่ายสังคมออนไลน์ควรเพิ่มความระมัดระวัง ระวังการหลอกลวงเรื่องการโอนเงิน
GateNews3 ชั่วโมง ที่แล้ว
