硬體錢包製造商 Ledger 的安全團隊近期揭露,搭載聯發科(MediaTek)晶片的 Android 手機存在重大硬體漏洞。攻擊者只需 45 秒的實體接觸,即可竊取設備 PIN 碼與加密貨幣錢包助記詞,估計全球有高達 25% 的安卓手機受影響。
(前情提要:小心!Clawdbot 配置不當恐藏重大安全漏洞:有用戶加密錢包遭洗劫一空)
(背景補充:Trust Wallet 錢包爆重大安全漏洞!切勿匯入助記詞並儘速升級 2.69,失竊金額至少 600 萬美元)
知名硬體錢包製造商 Ledger 的內部安全團隊,近期揭露了一項可能嚴重威脅數位資產安全的硬體級別漏洞。Ledger 旗下的白帽駭客研究單位 Donjon 發現,搭載聯發科(MediaTek)處理器的 Android 手機韌體中,存在一項危險的安全缺陷。這項漏洞允許攻擊者在極短的時間內,直接提取設備的 PIN 碼以及多個主流加密貨幣軟體錢包的私鑰。
破解僅需 45 秒,25% 安卓手機受威脅
這項漏洞的核心在於聯發科的安全開機鏈(secure boot chain)弱點。研究團隊指出,只要攻擊者能夠實體接觸到受害者的手機,便能在作業系統載入前透過 USB 連接設備。接著,攻擊者可提取保護 Android 全盤加密的加密金鑰,並在離線狀態下進行解密。
更令人擔憂的是,整個攻擊過程只需約 45 秒即可完成。研究人員估計,這項漏洞可能影響全球高達 25% 的 Android 手機,特別是那些採用聯發科晶片與 Trustonic 可信執行環境(TEE)的設備型號。
主流軟體錢包皆淪陷,官方急籲更新
為了證明該漏洞的嚴重性,Donjon 團隊進行了概念驗證(PoC)測試。結果顯示,包含 Trust Wallet、Kraken Wallet 以及在 Solana 生態廣受歡迎的 Phantom 錢包,其敏感的錢包數據與助記詞皆被成功竊取。
針對這項發現,Ledger 技術長 Charles Guillemet 強調,智慧型手機從未被設計成金庫。他指出,如果用戶將加密貨幣存放在手機上,其安全性僅取決於設備中最脆弱的一環。團隊公開這項研究的目的,是為了讓業界有時間在惡意行為者利用之前修補缺陷。雖然該漏洞可以透過軟體修補,但團隊仍強烈建議所有用戶,應盡速更新聯發科與手機製造商提供的最新安全修補程式。
個人錢包遭駭比例急遽攀升
這份研究報告發布之際,正值駭客針對用戶錢包發動大規模攻擊的高峰期。根據區塊鏈情報公司 TRM Labs 的數據顯示,在 2025 年上半年被盜的 21 億美元中,高達 80% 以上源自於私鑰盜竊與助記詞外洩等基礎設施攻擊。
此外,Chainalysis 的數據也指出,2024 年全年的加密貨幣竊盜損失超過 34.1 億美元。其中,個人錢包遭入侵的比例呈現爆發性成長,從 2022 年的 7.3% 暴增至 2024 年的 44%,受害案件超過 15.8 萬起。這些驚人的數據再次突顯了將大額資產存放在非專用硬體設備上的巨大風險。
📍相關報導📍
ZachXBT 調查全文:Axiom 員工濫用權限,追蹤 KOL 錢包內線交易
