硬件钱包制造商Ledger揭露：搭载联发科晶片的安卓手机存在重大漏洞 45秒窃取助记词

币圈子(120btC.coM)：知名硬件钱包制造商Ledger的内部安全团队，近期揭露了一项可能严重威胁数字资产安全的硬件级别漏洞。Ledger旗下的白帽黑客研究单位Donjon发现，搭载联发科(MediaTek)处理器的Android手机软件中，存在一项危险的安全缺陷。这项漏洞允许攻击者在极短的时间内，直接提取设备的PIN码以及多个主流加密货币软件钱包的私钥。

破解仅需45秒，25%安卓手机受威胁

这项漏洞的核心在于联发科的安全开机链(secure boot chain)弱点。研究团队指出，只要攻击者能够实体接触到受害者的手机，便能在作业系统载入前透过USB连接设备。接着，攻击者可提取保护Android全盘加密的加密金钥，并在离线状态下进行解密。

更令人担忧的是，整个攻击过程只需约45秒即可完成。研究人员估计，这项漏洞可能影响全球高达25%的Android手机，特别是那些采用联发科晶片与Trustonic可信执行环境(TEE)的设备型号。

主流软件钱包皆沦陷，官方急吁更新

为了证明该漏洞的严重性，Donjon团队进行了概念验证(PoC)测试。结果显示，包含Trust Wallet、Kraken Wallet以及在Solana生态广受欢迎的Phantom钱包，其敏感的钱包数据与助记词皆被成功窃取。

针对这项发现，Ledger技术长Charles Guillemet强调，智能手机从未被设计成金库。他指出，如果用户将加密货币存放在手机上，其安全性仅取决于设备中最脆弱的一环。团队公开这项研究的目的，是为了让业界有时间在恶意行为者利用之前修补缺陷。虽然该漏洞可以透过软件修补，但团队仍强烈建议所有用户，应尽速更新联发科与手机制造商提供的最新安全修补程式。

个人钱包遭黑比例急剧攀升

这份研究报告发布之际，正值黑客针对用户钱包发动大规模攻击的高峰期。根据区块链情报公司TRMLabs的数据显示，在2025年上半年被盗的21亿美元中，高达80%以上源自于私钥盗窃与助记词外泄等基础设施攻击。

此外，Chainalysis的数据也指出，2024年全年的加密货币窃盗损失超过34.1亿美元。其中，个人钱包遭入侵的比例呈现爆发性成长，从2022年的7.3%暴增至2024年的44%，受害案件超过15.8万起。这些惊人的数据再次突显了将大额资产存放在非专用硬件设备上的巨大风险。