返回部落格
ledger硬體錢包供應鏈釣魚
信任歸零:Ledger 實體供應鏈攻擊
駭客正在郵寄被篡改的 Ledger 設備給受害者,這是一種複雜的供應鏈攻擊。實體硬體不再是黃金標準。
Miguel Treviño•
重點摘要:
- 攻擊: 詐騙者正在郵寄被篡改的「替換」Ledger 設備給受害者,通過內部硬體修改來竊取助記詞。
- 漏洞: 實體冷儲存引入了「供應鏈風險」——用戶必須信任郵件承運商、轉售商和實體元件的完整性。
- 轉變: 現代行動硬體(安全飛地)提供了與專用加密狗等效的安全性,而沒有運送風險。
- 解決方案: Zelf 利用 你智慧型手機中已有的安全晶片,結合高級加密和生物識別 ZK 證明,消除了對不受信任的實體硬體的需求。
想像一下收到一個郵包。它是一個閃亮的新 Ledger Nano,看似來自官方公司,聲稱是你舊設備的「安全替換品」。
你插上它,輸入你的助記詞……然後你的畢生積蓄消失了。
這不是電影情節。這是現實生活,正如 DeFi Hanzo 所報導的。
供應鏈攻擊
攻擊正從數位領域轉向實體領域。駭客利用資料洩露找到了加密貨幣持有者的實體地址。然後他們將被篡改的硬體設備——實際上是塑膠和矽做成的「特洛伊木馬」——直接寄到他們的家門口。
這些假設備上的自訂韌體設計為在用戶輸入助記詞後立即克隆它。
硬體悖論
我們一直被告知「冷儲存」硬體錢包是最安全的選擇。但它們引入了一個關鍵漏洞:供應鏈。
- 你能信任郵件承運商嗎?
- 你能信任轉售商嗎?
- 你能驗證內部晶片上的焊接嗎?
無需運送的安全
Zelf 通過使用 你已經信任和持有的硬體 來解決這個問題:你智慧型手機的 安全飛地。
現代手機擁有專用安全晶片(如 Apple 的 Secure Enclave 或 Android 的 Titan M),與外部硬體錢包一樣安全。
- 無供應鏈風險:你不是從陌生人那裡購買新設備;你使用的是你已經擁有數月的手機。
- 生物識別加密:Zelf 利用這個安全晶片生成由你的臉加密的金鑰。
- 不可能「郵寄」駭客程式:駭客無法郵寄假的 Zelf 應用程式。應用商店的密碼學簽名防止了篡改。
實體加密狗有它們的時代。未來是生物識別的、行動的和供應鏈安全的。