据悉,一位Ledger用户因收到冒充Ledger支持的伪造实体信件,并在钓鱼网站上输入了恢复短语,损失了约107万美元。
可见转账记录显示损失金额
公开的转账记录显示,约有107.1万枚DAI从受影响钱包转出,与此事件中流传的损失金额相符。攻击者无需破解Ledger硬件或钱包加密算法。一旦受害者输入助记词,攻击者即可在其他设备上恢复钱包并转移资产,这与任何其他被盗的自托管账户情况类似。
硬件钱包钓鱼手段日趋常见
此类骗局遵循了硬件钱包钓鱼活动中日益常见的模式。受害者会收到一封外观逼真的信件,通常冒用Ledger品牌标识、使用紧急安全话术、带有客服式参考编号或指向虚假验证页面的二维码。该页面随后会要求用户输入恢复短语,从而使攻击者获得钱包的完全控制权。
助记词窃取行为绕过硬钱包防护
硬件钱包在常规签名过程中能保护私钥安全,但一旦用户将恢复短语提交给诈骗网站,便无法保障资金安全。恢复短语可用于重建钱包访问权限。任何掌握该短语的人通常都可在其他设备上恢复钱包并转移资产,而无需使用原Ledger硬件设备。
目前已有攻击者通过旨在窃取恢复短语的实体钓鱼信件针对Ledger用户。Ledger的安全规则十分明确:任何索取24词恢复短语的要求均属欺诈,无论其通过电子邮件、社交媒体、网站、二维码、电话或印刷文件等形式呈现。
近期损失事件与Ledger主题骗局浪潮相关
此次最新损失事件也契合近期一系列以Ledger为主题的诈骗浪潮。此前曾出现通过伪造硬件钱包窃取助记词和PIN码的骗局,其他攻击手段还包括假冒Ledger Live应用程序、克隆网站及紧急更新警告等。
恢复短语即钱包本身
本次攻击最令人警醒之处在于其手法极为简单。受害者无需签署恶意智能合约、批准代币授权、安装恶意软件或连接去中心化金融应用,仅需在错误网站输入助记词便足以导致损失。
这使得助记词的保护比任何单一钱包品牌都更为重要。助记词应离线手写保存,远离摄像头及云端账户,仅在使用可信设备恢复钱包时使用。绝对不应在任何网站输入或向客服人员透露。正确理解私钥与助记词的工作原理,可避免许多高价值钱包被盗的核心错误。
若已将助记词输入可疑网站,应视该钱包为永久性失陷。修改密码或移除浏览器扩展程序均无法保障资金安全。更稳妥的做法是在洁净设备上使用全新助记词创建新钱包,并立即转移所有剩余资产。
硬件钱包安全需多维度防护
此次事件为硬件钱包用户留下重要警示:硬件设备仅是安全体系的一环。助记词才是主密钥,一旦用户将其输入钓鱼页面,伪造信件便能轻易攻破冷存储防护。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注