加密货币硬件钱包制造商Ledger 近日证实其第三方电商合作伙伴Global-e发生客户资料外泄事件，导致部分透过官方线上商城购买冷钱包产品的客户个资被窃取，事件曝光后，引发加密货币社群对冷钱包与硬件钱包的安全性产生疑虑。

客户私钥未外泄、但用户姓名与联络方式被窃取

根据Ledger 说明，此次事件未涉及私钥、钱包内资金或支付资讯，但外泄资料包含用户姓名与联络方式。安全研究人员指出，这类资讯一旦落入恶意人士手中，仍可能被用于针对性诈骗、社会工程攻击，甚至带来现实层面的威胁(像是打劫)。在资料外泄消息传出后数小时内，已有用户回报收到大量钓鱼邮件与诈骗讯息。攻击者还冒充Ledger 或Global-e 客服人员，利用外泄的个人资讯建立信任感，以「帐户异常」、「设备需要更换」等说法施压，诱导用户提供敏感资料。这并非Ledger 首次遭遇资料外泄。 2020 年，该公司曾发生影响近30 万名用户的大规模资料泄露事件；2021 年，诈骗者更曾在钓鱼攻击中寄送伪造的Ledger 硬件钱包。安全研究人员指出，过往事件后，确实出现钱包遭盗、财务损失，甚至在极端情况下引发针对持币者的实体暴力威胁。

专家表示防范社会工程学与保护个资最重要

专家表示，风险并不仅限于资料被列入外泄名单的用户。任何被外界认知为持有硬件钱包或加密资产的人，都可能成为钓鱼或社会工程攻击的目标。 Zengo Wallet 执行长、钱包安全专家Ouriel Ohayon 指出个资外泄的用户已成为明确目标，所承担的风险将会更高，而客户服务人员主动联系本身就是一个危险讯号，永远不要与任何人分享助记词或是其他个资，用户应该验证电子邮件的实际寄件者，避免回覆未经请求的私讯或透过非官方管道，尤其是电子邮件、即时通讯应用甚至纸本信件收到的「客户服务讯息」。

ENS 首席资讯安全长Alexander Urbelis 则提醒，外泄资料的类型会影响威胁程度，其中实体住址尤其敏感。一旦家庭地址与硬件钱包使用者身分产生连结，潜在风险将显著上升。

是否需要转移资金或更换钱包？

专家警告不要因为恐慌而急着进行链上操作，转移资金不一定能降低风险，如果用户仓促行事，反而可能带来新的危险，一旦被识别为钱包所有者，加密货币储存在哪里就无关紧要了。攻击者的目标已经是个人，而不是钱包本身，转移资金有时可能会适得其反，因为资金转移是公开的，骇客也会追踪到线索。在目前针对Ledger 用户的诈骗手法中，攻击者多半不依赖技术漏洞，而是透过心理操纵，诈骗者会先使用真实姓名或订单细节建立可信度，再透过制造紧急情境迫使用户迅速回应，平常就保护好自己的个资，碰到状况时Don't Trust, verify 是最好的方式面对潜在攻击。

本文链接地址：https://www.wwsww.cn/hqfx/36357.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。