Ledger 安全團隊發現 Android 漏洞，可在 45 秒內提取加密錢包助記詞

ChainCatcher 消息，据 The Block 報導，Ledger 旗下安全研究團隊 Donjon 發現 MediaTek 處理器安全啟動鏈中的一個漏洞，攻擊者可在物理接觸手機的情況下，通過 USB 連接在操作系統加載前提取加密密鑰，解密設備存儲，從而在約 45 秒內獲取設備 PIN 碼及加密錢包助記詞。

概念驗證測試中，該漏洞成功從 Trust Wallet、Kraken Wallet 和 Phantom 等錢包應用中提取了敏感數據。研究人員表示，該漏洞可能影響約 25% 的 Android 手機，涉及使用 MediaTek 晶片及 Trustonic 可信執行環境的機型。Ledger 首席技術官 Charles Guillemet 表示，智能手機從未被設計為保險庫，該漏洞雖可通過補丁修復，但表明在非安全設備上存儲密鑰存在固有風險，建議用戶儘快更新安全補丁。

據 TRM Labs 數據，2025 年上半年被盜的 21 億美元加密資產中，超過 80% 來源於私鑰盜竊、助記詞竊取及前端劫持等基礎設施攻擊。Chainalysis 數據顯示，2024 年全年加密資產盜竊損失超過 34.1 億美元，個人錢包被盜佔比從 2022 年的 7.3% 上升至 2024 年的 44%。