Ledger 新型攻击

目录: 比特币 | 标签: 比特币 , Bitcoin , Ledger , 隐私 | 发表时间: Jun 19, 2021.

Viewd 7 times.

文/Robin

大概是一年前，Ledger 客户数据遭黑客攻击，超过 100 万名黑客的受害者的详细信息被泄露。由于泄漏的客户数据太过直白，如今后续来了。

比特币硬件钱包提供商 Ledger 提醒用户称，近期发生了一系列利用伪造 Ledger 硬件钱包骗取用户资产的新型骗局，部分一年前信息遭到泄露的用户收到要求用户更换硬件钱包的包裹，该包裹包括一份伪造的官方信件及一个被篡改过的 Ledger 硬件钱包。

Ledger 表示，信中关于「需要更换现有的硬件钱包来保护你的资金」为骗局，附赠的 Ledger 也是假的，如用户按照信中说明输入种子单词，用户的加密资产将会被盗。

我们来复盘此次攻击，这可以说是非常高级的社工攻击了。

第一，拿到泄漏的客户信息，这个可以说是非常简单了，搜索的技能熟练些，想要获取并不是什么太大的问题。

第二，制作假冒的 Ledger 硬件钱包。Ledger 固件都是开源的，要想制作假冒的产品，需要懂硬件以及嵌入式编程，需要懂密码学，以及整个生产链（或者也不用，直接用真的 Ledger，然后修改固件）。更重要的是，这个假的硬件，一旦导入了真的助记词，连上电脑之后，会有种木马的能力，这个木马做的事情就太坏了，可能是将助记词上传到某个服务端，又或者是在转账的时候修改目标地址，总之最终的目标都是拿到硬件钱包里面的加密货币。

第三，寄出的地址、姓名、手机号等需要考虑隐藏真实身份，如果这个不做好，有可能会追溯到始作俑者。不过要想完全隐藏，应该还是挺难的，物理世界留下痕迹太容易了。

当然了，真正实施这种社工攻击，要考虑的还要更多。我们能从这里面得出什么教训呢。

第一，网购填写的地址，尽可能地不要精确到门牌号，可以填写附近的快递柜或者快递代收点。这一点很重要，小区的保安防护，也并不能做到万无一失。

第二，如果收到类似的包裹，一定要给官方致电核实，切不可在未确认的情况下做任何操作。

第三，使用单个硬件钱包，其实还是不太安全的。一方面是助记词的备份问题，另一方面是硬件的单点问题，更加稳妥的是采用硬件钱包多签，当然了，这里还是有不低的成本。

Ledger 因为要做营销从而保留了所有的客户信息，如今造成的损失已经无法弥补，只能多加小心。以上，希望带给大家启发。

我是区块链罗宾，博客 dbarobin.com。如果您想和我交流，我的微信: Wentasy

本站推广

币安是全球领先的数字货币交易平台，提供比特币、以太坊、BNB 以及 USDT 交易。

• 币安注册: https://accounts.binancezh.io/cn/register/?ref=11190872
• 邀请码: 11190872

本博客开通了 Donate Cafe 打赏，支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。

–EOF–

版权声明：自由转载-非商用-非衍生-保持署名（创意共享4.0许可证）