一名鏈上調查員 ZachXBT 抨擊硬體錢包是「完完全全的垃圾」,並稱 Ledger 在主要供應商中最糟,原因是 1 月 10 日發生一起竊案:受害者在一場社交工程詐騙中損失了超過 2.82 億美元的比特幣與萊特幣。根據 Wu Blockchain 與 The Defiant 的報導,此次攻擊涉及約 205 萬 LTC 與 1,459 BTC,攻擊者透過即時兌換將被盜資金轉換為門羅幣,並使用 Thorchain 在不同網路之間轉移比特幣。ZachXBT 的表態挑戰了常見的幣圈資安建議:使用硬體錢包。他指出這些裝置無法防止使用者遭遇作業安全(操作安全)失誤、釣魚攻擊、供應鏈洩漏或社交工程手法。
ZachXBT 在 The Defiant 報導一名硬體錢包使用者在 1 月 10 日遭到超過 2.82 億美元的比特幣與萊特幣損失後,於其後凸顯了 1 月 10 日的竊案。該攻擊涉及約 205 萬 LTC 與 1,459 BTC。據稱,攻擊者透過即時兌換將被盜資金換成門羅幣,並使用 Thorchain 將比特幣在不同網路之間移動。ZachXBT 的評論(由 Wu Blockchain 報導並在 X 上轉發)是在他檢視竊案細節之後提出。外界描述這起攻擊是社交工程詐騙,而非對硬體裝置的加密破解。
在 1 月,Bit2Me 報導 ZachXBT 提醒:Ledger 相關的資料曝光牽涉到 Global-e,一家用於 Ledger 銷售流程的外部付款處理器。此次外洩揭露了姓名、電子郵件、電話號碼與實體地址等個人資訊。報導指出,使用者的私鑰與資金並未直接遭到竄改。Ledger 這些年來一直因釣魚活動、仿冒裝置、假 Ledger Live 應用程式,以及其 Ledger Recover 功能而受到嚴格審視。該公司一再表示,其裝置設計目的是讓私鑰保持安全。
ZachXBT 的批評聚焦於作業安全漏洞,而非裝置端的密碼學。硬體錢包被行銷為比軟體錢包更安全,因為它們讓種子短語與交易簽署彼此隔離,避免與連網裝置接觸。然而,ZachXBT 認為,硬體裝置無法阻止使用者把種子短語輸入到釣魚網站、批准惡意交易、購買仿冒裝置,或因為其個人資料透過供應商或付款處理器遭到暴露而成為目標。一旦罪犯知道某人購買了硬體錢包,就能針對其情況投送量身打造的釣魚電子郵件、冒充客服訊息、嘗試 SIM-swap,甚至進行實體威嚇。對大型持有人而言,ZachXBT 的評估意味著,自我託管需要多重簽章錢包、分離的簽署裝置、地址允許清單、交易模擬、專用離線機,以及嚴格禁止在裝置本身以外的任何地方輸入種子短語的規則。
ZachXBT 對硬體錢包說了什麼? ZachXBT 稱硬體錢包是「完完全全的垃圾」,並表示他不建議使用它,且依據由 Wu Blockchain 報導的社群媒體貼文,他稱 Ledger 是主要供應商裡最糟的。
ZachXBT 所提到的 1 月 10 日竊案中,有多少加密貨幣遭竊? 根據 The Defiant 的報導(援引 ZachXBT),受害者在 1 月 10 日的社交工程詐騙中損失了超過 2.82 億美元的比特幣與萊特幣,涉及約 205 萬 LTC 與 1,459 BTC。
在 Ledger 資料外洩中,有哪些個人資訊遭到暴露? 依據 Bit2Me 關於 ZachXBT 於 1 月發出的警告的報導,透過 Global-e 付款處理器的外洩,暴露了 Ledger 客戶的姓名、電子郵件、電話號碼與實體地址;但使用者的私鑰與資金並未直接受到影響。