该推文已被作者删除。
但我们已保存所有内容 🙂。
多年来,Ledger 和 Trezor 一直是最受欢迎的加密货币钱包。但这两个品牌都不是完美的,且两者的漏洞都曾多次被发现。此类事件出现得越多,一个问题就越频繁地被提及:究竟哪种钱包才能真正被视为可靠?
本文翻译自原文。点击此处阅读由我们的通讯员撰写的原文.
Trezor:通过芯片、网站和社交媒体发起的攻击
讨论 Trezor 安全性的另一个契机源于 Ledger 研究团队 Donjon 发布的一份报告。其专家在 Trezor Safe 7 钱包使用的 TROPIC1 芯片中发现了一个漏洞。该攻击需要物理接触芯片、实验室设备以及精确的激光照射。Trezor 表示用户资金是安全的,因为 TROPIC1 只是设备三层保护中的一层。
这并非首次出现类似情况。2025 年 3 月,Ledger Donjon 报告了 Trezor Safe 3 的一个漏洞。该漏洞涉及钱包被实物盗窃时的攻击:问题与受保护芯片协同工作的微控制器有关。Trezor 当时表示 Safe 5 不受此问题影响,且研究人员无法从测试设备中提取私钥或 PIN 码。
此外,还发生过并非针对设备本身,而是针对 Trezor 用户的攻击。2024 年,该公司警告了一场网络钓鱼活动:攻击者利用官方网站上的联系表单发送看似支持回复的电子邮件。Trezor 强调电子邮件地址并未泄露,但提醒用户核心原则:公司绝不会索要钱包备份或助记词。
2024 年 1 月,有报告称第三方支持门户遭到未经授权的访问。2024 年 3 月,一名攻击者入侵了该公司的 X 账号,并在 Solana 网络上发布了虚假的预售信息。这些案例并不意味着硬件钱包本身被直接破解,但它们表明攻击者的目标不仅可以是设备,还可以是品牌与用户之间的沟通渠道。
Ledger:受保护的钱包,脆弱的生态系统
Ledger 同样远非完美。该品牌依赖于旨在隔离设备内部私钥的受保护芯片。然而,近年来的情况表明,攻击者的目标可以超出钱包本身。应用程序、合作伙伴、去中心化服务的库以及收到诈骗者虚假邮件的用户,都可能变得脆弱。
2026 年 1 月,Ledger 面临通过其支付合作伙伴 Global-e 泄露客户个人数据的问题。根据区块链调查员 ZachXBT 的说法,第三方供应商的一个漏洞暴露了 Ledger 用户的联系信息。在给受影响客户的信中,Global-e 表示在其部分网络中检测到了可疑活动。该公司确认了对某些数据的未经授权访问,包括姓名和客户联系信息。
2024 年,Ledger 持有者遭遇了大规模网络钓鱼攻击。诈骗者以公司名义发送电子邮件,声称发生了数据泄露。用户被要求在虚假网站上“验证”他们的助记词。该页面看起来像官方的 Ledger 服务,但其目的是窃取数据。如果用户输入了错误的词组,网站会显示错误并要求重试,直到诈骗者获得正确的组合。
2024 年 11 月,在 Microsoft Store 中发现了一个虚假的 Ledger Live 应用程序。用户下载它是以为正在安装用于操作钱包的官方界面。据媒体报道,该虚假应用导致攻击者窃取了 768,000 美元。
另一个严重事件发生在 2023 年 12 月。当时,去中心化应用程序使用的 Ledger Connect Kit 库遭到入侵。Ledger 表示原因是针对一名前员工的网络钓鱼攻击:攻击者获得了向 JavaScript 包管理器上传恶意文件的能力。据 Ledger 首席执行官 Pascal Gauthier 称,公司与 WalletConnect 合作,在发现漏洞约 40 分钟后修复了该漏洞并更换了受损的库。
没有完美的钱包
Trezor 和 Ledger 的故事表明,漏洞可能多种多样。在一种情况下,研究人员用激光测试芯片;在另一种情况下,诈骗者发送电子邮件、创建虚假网站或向商店上传虚假应用。有时问题出在设备内部,有时出在周边服务中,有时则出在用户对熟悉品牌的信任上。
市场上还有其他硬件钱包,例如来自 Coinkite、BitBox、Keystone 或 Tangem 的设备。有些仅专注于比特币,而有些则依赖卡片、二维码、开源代码或不连接电脑。但这些方法都无法一次性消除所有风险。设备越复杂,其生态系统越广泛,出现薄弱环节的地方就越多。
在这种情况下,理想的加密钱包不仅应保护设备内部的私钥。它还应向用户准确展示他们正在签署的内容,避免收集不必要的个人数据,拥有清晰的更新系统,接受独立审计,并能抵抗物理攻击。但如果所有者在虚假网站上输入助记词或下载虚假应用,即使是这些保护也还不够。
这就是为什么钱包的可靠性不能简化为一个品牌或一个芯片。Ledger 与硬件保护和封闭式受保护芯片的联系更紧密。Trezor 则与开放性和可验证性相关联。其他制造商也提供了各自的折中方案。实际上,最安全的钱包不是从未发现过漏洞的钱包,而是那些能预先理解风险、快速修复风险,且不会因用户的一个错误就导致所有资金损失的钱包。
你喜欢这篇文章吗?
头条新闻
适合您的5个最佳券商
美国
-
中国
-
中国台湾
-
丹麦
-
乌克兰
-
乌兹别克斯坦
-
乌干达
-
乌拉圭
-
也门
-
亚美尼亚
-
以色列
-
伊拉克
-
伊朗伊斯兰共和国
-
保加利亚
-
克罗地亚
-
刚果
-
刚果(金)
-
利比亚
-
加拿大
-
加纳
-
匈牙利
-
北马其顿
-
南非
-
博茨瓦纳
-
卡塔尔
-
卢旺达
-
卢森堡
-
印度
-
印度尼西亚
-
厄瓜多尔
-
叙利亚
-
古巴
-
吉尔吉斯斯坦
-
哈萨克斯坦
-
哥伦比亚
-
哥斯达黎加
-
喀麦隆
-
土耳其
-
坦桑尼亚
-
埃及
-
埃塞俄比亚
-
塔吉克斯坦
-
塞尔维亚
-
塞浦路斯
-
墨西哥
-
多米尼加共和国
-
奥地利
-
委内瑞拉
-
孟加拉国
-
安哥拉
-
尼日利亚
-
尼泊尔
-
巴勒斯坦
-
巴哈马
-
巴基斯坦
-
巴布亚新几内亚
-
巴拉圭
-
巴拿马
-
巴林
-
巴西
-
希腊
-
德国
-
意大利
-
拉脱维亚
-
挪威
-
捷克
-
摩尔多瓦
-
摩洛哥
-
文莱达鲁萨兰国
-
斯威士兰
-
斯洛伐克
-
斯洛文尼亚
-
斯里兰卡
-
新加坡
-
新西兰
-
日本
-
智利
-
柬埔寨
-
格鲁吉亚
-
比利时
-
毛里求斯
-
沙特阿拉伯
-
法国
-
波兰
-
波多黎各
-
泰国
-
津巴布韦
-
海地
-
澳大利亚
-
爱尔兰
-
爱沙尼亚
-
牙买加
-
特立尼达和多巴哥
-
玻利维亚
-
瑞典
-
瑞士
-
留尼汪
-
白俄罗斯
-
科威特
-
科特迪瓦
-
秘鲁
-
突尼斯
-
立陶宛
-
索马里
-
约旦
-
纳米比亚
-
缅甸
-
罗马尼亚
-
美国
-
老挝
-
联合王国
-
肯尼亚
-
芬兰
-
荷兰
-
莫桑比克
-
莱索托
-
菲律宾
-
萨尔瓦多
-
葡萄牙
-
蒙古
-
西班牙
-
赞比亚
-
越南
-
阿塞拜疆
-
阿富汗
-
阿尔及利亚
-
阿尔巴尼亚
-
阿曼
-
阿根廷
-
阿联酋
-
韩国
-
香港
-
马来西亚
-
马耳他
-
马达加斯加
-
黎巴嫩
-
黑山
- Forex
- Crypto
