Ledger新数据泄露事件未窃取您的加密货币,但泄露的信息却引来暴力犯罪分子上门

Ledger 客户在1月5日醒来时收到了一封没人想看到的电子邮件:他们的姓名和联系信息通过第三方支付处理商 Global-e 的数据泄露而被曝光。

该公司澄清了哪些信息未被泄露:没有支付卡、没有密码,最重要的是,没有24个单词的恢复短语。硬件设备未受影响,固件安全,种子储存完好无损。

对于数据泄露来说,这是最好的情况。但在加密货币领域,泄露的运输标签可能是网络钓鱼漏斗的第一步,或者在罕见的最坏情况下,会有人敲响你的家门。

真正的漏洞不在钱包

BleepingComputer 报道称,攻击者从 Global-e 的云系统访问了购物者的订单数据,复制了姓名、邮政地址、电子邮件、电话号码和订单详情。

这是一次"商业堆栈泄露",其中没有触及加密密钥,没有设备被植入后门,也没有任何漏洞击败 Ledger 的安全元件。

攻击者获得的是更实用的东西:一份新鲜、高质量的已确认硬件钱包所有者的联系名单,包含家庭送货地址。

对于网络钓鱼操作者来说,这是基础设施级别的定向数据。硬件钱包完成了它的工作,但周围的商业系统为攻击者提供了他们所需的一切。

Ledger 之前经历过这种情况。2020年6月,一名攻击者利用配置错误的 API 密钥访问了该公司的电子商务数据库。一百万个电子邮件地址被曝光,272,000条记录包含完整姓名、邮政地址和电话号码。

Bitdefense 将其描述为"诈骗者的黄金机会"。

攻击并不隐蔽。虚假的泄露通知敦促用户在克隆网站上"验证"恢复短语,欺诈性的 Ledger Live 更新提供了凭证收集器。

一些勒索电子邮件威胁要入室抢劫,由于攻击者拥有受害者的地址和已确认的钱包购买记录,这些威胁显得可信。

永不过期的数据集

加密货币领域的个人身份信息(PII)泄露具有不寻常的持久性。

2020年的 Ledger 名单并未过时。2021年,犯罪分子向数据库中的地址邮寄了经过实体篡改的"替换"设备。这些带有假信头的收缩包装包裹指示受害者在修改过的硬件上输入恢复短语,该硬件旨在窃取种子。

到2024年12月,BleepingComputer 记录了一场新的网络钓鱼活动,使用"安全警报:数据泄露可能暴露您的恢复短语"作为主题行。

此外,MetaMask 的2025年威胁报告指出,实体信件通过邮政邮件发送给2020年的受害者,使用假的 Ledger 信纸,将他们引导至欺诈性支持热线。

该数据集成为永久性固定装置,在电子邮件、短信和传统邮件中循环使用。

Global-e 泄露事件为攻击者提供了同一武器的新版本。Ledger 的警告明确预见了这一点:预计会有利用泄露的网络钓鱼,验证所有域名,忽略紧急提示,永远不要分享你的24个单词短语。

当网络钓鱼升级为实体威胁

2020年的泄露从未损害 Ledger 设备,但它使将客户名单作为严重犯罪的输入变得正常化。Bitdefender 指出,勒索电子邮件使用泄露的地址威胁入室抢劫。Ledger 在头两个月内关闭了171个网络钓鱼网站。

报告记录了在法国、美国、英国和加拿大不断升级的实体抢劫、入室抢劫和绑架事件,旨在提取私钥。

一起法国事件涉及2025年1月绑架 Ledger 联合创始人 David Balland 及其伴侣,期间攻击者在索要赎金时切断了一根手指。

之前的 Ledger 泄露引发了扳手攻击,报告称,针对加密货币高管的暴力攻击激增与 Ledger、Kroll 和 Coinbase 的泄露事件相关,这些泄露暴露了高净值用户的详细信息。

犯罪分子将泄露的数据库与公共记录拼接在一起,以分析和定位目标。

TRM Labs 确认了这一机制:在线收集的个人信息,如地址和家庭详情,简化了对入室抢劫受害者的分析,即使钱包技术仍未被破坏。

执法部门现在将加密货币特定的 PII 泄露视为暴力勒索的成分。

如何应对生态系统问题

Ledger 并不孤单。当 Kroll 在2023年8月被攻破时,FTX、BlockFi 和 Genesis 债权人的数据被访问。

诉讼指控处理不当导致每天都有伪造索赔门户的网络钓鱼电子邮件。

模式是一致的:第三方供应商持有"非敏感"数据,当与加密资产所有权挂钩时,这些数据就变得敏感了。运输地址是元数据,直到附加到硬件钱包订单上。

商业层由商户平台、CRM 和运输集成组成,创建了谁拥有什么以及在哪里找到他们的地图。

Ledger 的建议是合理的:验证域名,忽略紧急性,永远不要分享你的种子。然而,安全研究人员建议扩展这一点。

拥有高价值资产的用户应考虑启用可选的密码短语功能,即仅存在于记忆中的第25个单词。此外,用户应定期更换其联系信息,为钱包购买使用唯一的电子邮件地址,并监控 SIM 卡交换尝试。

地址暴露带来线下风险。交付最小化,如邮件转发、商业地址和取件地点,减少了实体胁迫的表面。扳手攻击在统计上仍然罕见,但代表着真实且不断增长的威胁。

Global-e 事件提出了未解答的问题:有多少客户受到影响?访问了哪些特定字段?其他 Global-e 客户是否受到损害?哪些日志跟踪入侵者的移动?

加密货币行业需要重新思考其商业基础设施的风险。如果自我托管从资产控制中移除了受信任的第三方,那么将客户数据交给电子商务平台和支付处理商就会创建可利用的目标地图。

硬件钱包可能是堡垒,但业务运营会产生持续的漏洞。

Global-e 泄露事件不会黑掉任何一台 Ledger 设备。它不需要。它为攻击者提供了一份新鲜的姓名、地址和购买证明清单,这是启动将持续数年的网络钓鱼活动所需的一切,在罕见情况下,还能实施不需要绕过加密的犯罪。

真正的漏洞不是安全元件。而是通向用户家门的纸质踪迹。

The post New Ledger breach didn't steal your crypto, but it exposed info that leads violent criminals to your door appeared first on CryptoSlate.