返回博客
Ledger硬件钱包供应链钓鱼
不要信任任何人:Ledger 实物供应链攻击
黑客正在向受害者邮寄被篡改的 Ledger 设备,这是一种复杂的供应链攻击。实物硬件不再是安全的黄金标准。
Miguel Treviño•
要点速览:
- **攻击:**骗子正在向受害者邮寄被篡改的"替换"Ledger 设备,通过内部硬件修改窃取助记词。
- **漏洞:**实物冷存储引入了"供应链风险"——用户必须信任快递员、经销商和物理组件的完整性。
- **转变:**现代移动硬件(安全飞地)提供了与专用加密狗等效的安全性,没有运输风险。
- 解决方案:Zelf 利用你智能手机中已有的安全芯片,将高级加密与生物识别 ZK 证明相结合,消除了对不可信实物硬件的需求。
想象一下收到一个邮寄包裹。它是一个崭新的 Ledger Nano,看似来自官方公司,声称是你旧设备的"安全替换品"。
你插上它,输入你的助记词……你的毕生积蓄消失了。
这不是电影情节。这是真实生活,据 DeFi Hanzo 报道。
供应链攻击
攻击正在从数字转向物理。黑客利用数据泄露找到加密货币持有者的实际地址。然后他们将被篡改的硬件设备——实际上是由塑料和硅制成的"特洛伊木马"——直接送到他们的家门口。
这些假冒设备上的自定义固件被设计为在用户输入助记词后立即克隆。
硬件悖论
我们一直被告知"冷存储"硬件钱包是最安全的选择。但它们引入了一个关键漏洞:供应链。
- 你能信任快递员吗?
- 你能信任经销商吗?
- 你能验证芯片内部的焊接吗?
无需运输的安全
Zelf 通过使用你已经信任和持有的硬件来解决这个问题:你智能手机的安全飞地。
现代手机拥有专用的安全芯片(如 Apple 的 Secure Enclave 或 Android 的 Titan M),与外部硬件钱包一样安全。
- 无供应链风险:你没有从陌生人那里购买新设备;你使用的是你已经拥有数月的手机。
- 生物识别加密:Zelf 利用这个安全芯片生成由你的面部加密的密钥。
- 无法"邮寄"黑客攻击:黑客无法向你邮寄一个假的 Zelf 应用。应用商店的密码学签名可以防止篡改。
实物加密狗有其时代。未来是生物识别的、移动的和防供应链攻击的。