Ledger 硬體錢包相關安全事件彙總

關鍵見解：

• 去年，加密貨幣領域的安全性從攻擊者試圖破解硬體轉向利用第三方支付處理商。
• Global-e 的重大資料外洩曝光了 Ledger 客戶的姓名和地址，並可能增加了針對性實體攻擊的風險。
• 惡意行為者主要使用“扳手攻擊”和詐騙電子郵件來誘騙用戶透露他們的24個字恢復短語。

隨著去年結束，加密貨幣世界面臨了一個嚴峻的現實檢驗。

儘管硬體錢包是資產保護的黃金標準，但圍繞它的生態系統始終處於火力之下。

在過去的一年中，一系列涉及 Ledger 錢包的安全事件證明，數字貨幣的安全性僅取決於持有者留下的資料。

惡意行為者逐漸遠離試圖“駭入”設備本身，而轉而攻擊處理訂單的公司或用於支援的電子郵件。

Global-e 資料外洩

今年，Ledger 錢包對用戶隱私造成的最大打擊來自一個名為 Global-e 的供應商。

這家公司在 Ledger 官方商店的國際銷售中扮演“商戶記錄者”的角色。1月5日，消息傳出 Global-e 的雲端系統遭到入侵。

社群警示：Ledger 透過支付處理商 Global-e 發生了另一場資料外洩，洩露了客戶(姓名及其他聯絡資訊)。

今天早些時候，客戶收到了以下電子郵件。pic.twitter.com/RKVbv6BTGO

— ZachXBT (@zachxbt) 2026年1月5日

這次駭客行動曝光了數千名客戶的姓名、郵寄地址和電話號碼。幸運的是，私鑰或恢復短語並未受到影響。

硬體本身仍然在技術上是安全的，但用戶的“曝光”引發了一波新的恐懼。

像 ZachXBT 這樣的安全研究人員警告，洩露實體地址對高價值持有者來說是一場噩夢。當犯罪分子確切知道一位富有投資者的住址時，威脅就從數位世界轉向實體世界，這通常被稱為“扳手攻擊”。

去年早些時候，Ledger 的聯合創始人 David Balland 在法國曾遭遇暴力綁架和勒索企圖。

魚叉攻擊的崛起

攻擊者在社交工程策略上變得更具創意，尤其是在2025年。

由於他們無法破解錢包內的“安全元件”晶片，他們轉而騙取人類用戶。常見的方法之一是利用 Ledger Recover 服務。

這是一個幫助人們找回遺失種子短語的可選工具。然而，詐騙者將其作為誘餌。他們發送假冒電子郵件，聲稱用戶的“身份驗證”出現問題。

這些電子郵件看起來官方，並催促用戶將24個字的助記詞輸入一個假冒的入口網站。

供應鏈漏洞

2023年的“Connect Kit”漏洞仍在困擾用戶。攻擊者越來越多地利用那次初始資料外洩的資料來發動更多的釣魚攻擊。

到目前為止，他們已針對曾使用 SushiSwap 或 Revoke.cash 等去中心化應用的用戶。除了簡單的提款腳本外，他們現在已轉向“授權型”攻擊。

這些詐騙會誘騙用戶簽署一筆交易，讓詐騙合約獲得對特定代幣的無限存取權。

由於這些攻擊看起來像是與 DeFi 協議的正常互動，許多用戶因此上當。

事實上，去年 Ledger 的安全報告顯示，全球約有$84 百萬資金因加密釣魚而損失。

這些受害者中很大一部分甚至是因為他們的聯絡資訊在過去幾年被洩露而成為目標。

一旦用戶的電子郵件被列入“傻瓜名單”，他們就會成為詐騙者長期追蹤的對象。