为何专门针对 Ledger 用户

最初的泄露事件发生在 2020 年 7 月。一个配置错误的 Shopify CDN 端点暴露了 Ledger 的客户电子商务数据库,攻击者提取了大约 270,000 份完整的客户记录和约 100 万个电子邮件地址。泄露的字段不仅仅是电子邮件,还包括名字、姓氏、邮政地址和电话号码。六个月后,完整数据集被公开发布在一个黑客论坛上,这意味着自 2020 年以来,任何具备基本 Google 技能的骗子都可以免费获取这些数据。

这次泄露创造了一份永久目标列表。文件中的每个人都被知道拥有硬件钱包,被知道在上面花费了 80 到 400 美元,因此几乎可以肯定持有一定数量的加密货币。从网络钓鱼经济学的角度来看,这是业内质量最高的目标列表。随机的撒网式网络钓鱼的响应率接近零。而对每个人都拥有加密货币的名单进行网络钓鱼,响应率就真正有效了。

Chainalysis 和社区追踪者估计,自 2020 年以来,Ledger 主题网络钓鱼的累计损失超过 2 亿美元,个别事件从几千美元到单个钱包损失超过 200 万美元不等。攻击活动每隔几个月更换模板,但目标列表从未改变。如果你在 2020 年在列表上,2026 年你仍然在列表上。

2026 年当前的邮件模板

2026 年这波虚假 Ledger 邮件比 2021 年和 2022 年的批次看起来更精良。英文写得更好,HTML 渲染与 Ledger 的真实模板完美匹配,紧迫措辞已从"数据泄露通知"转向"例行固件验证"。以下是目前流传的典型邮件的脱敏样本:

脱敏示例(请勿复制):
  • 发件人: Ledger Support <support@ledger-verify[.]com>
  • 主题: 需要操作:请在 4 月 30 日前验证您的 Ledger 设备
  • 正文开头:"作为我们 4 月安全审计的一部分,所有 Ledger Nano S Plus 和 Nano X 设备必须完成一次性固件验证。未在 4 月 30 日前完成验证的设备将失去对 Ledger Live 的访问权限。"
  • 正文中段:"最近的安全漏洞(CVE-2026-XXXX)要求我们重新同步您的恢复信息。这只需不到 2 分钟。"
  • 行动呼吁按钮:"验证我的设备",链接到 ledger-live-update[.]com 或 ledger-start[.]io
  • 页脚:真实的 Ledger 巴黎地址、看似真实的退订链接、看似真实的支持电话号码。

专业外观正是陷阱所在。所有视觉元素都是正确的。徽标、排版、版权页脚,甚至 CAN-SPAM 退订链接。唯一有问题的是发件人域名和目标 URL,而这两者都被精心设计成乍一看像是合法的。在早上 7 点查看手机邮件的人几乎没有机会在没有浏览器端警告的情况下发现差异。

每封虚假 Ledger 邮件中的 4 个危险信号

无论模板如何演变,这四个信号都会出现在每一封虚假邮件中。如果你看到其中任何一个,该邮件就是网络钓鱼,毫无疑问。

  1. 发件人域名不是 @ledger.com 或 @ledger.fr。合法的 Ledger 邮件始终来自这两个域名之一。不是 ledger-support.com,不是 ledger-verify.com,不是 support.ledger.io,不是 noreply@ledger-security.net。如果域名在"ledger"这个词上附加了任何后缀、前缀、连字符或替代顶级域名,它就不是 Ledger。
  2. 关于"设备验证"或"通过电子邮件进行固件更新"的紧迫要求。Ledger 固件更新在 Ledger Live 桌面或移动应用程序内按你自己的时间表进行,完全不涉及电子邮件。Ledger 不会向你发送更新截止日期的邮件。任何说"在[日期]前验证否则失去访问权限"的消息都是为了绕过你的判断而制造的假紧迫感。
  3. 链接目标不是 ledger.com 或 shop.ledger.com。在点击之前悬停在按钮上。查看状态栏中的实际 URL。如果不是 ledger.com 或 shop.ledger.com,请关闭邮件。常见的仿冒域名包括 ledger-live-update、ledgerhq-verify、ledger-start、ledger-com-auth,以及数十个替换字母或添加连字符的变体。
  4. 流程最终要求你"验证"或"输入"你的 24 个单词恢复短语。这是致命一击。整封邮件的目的是将你引导到一个询问你助记词的页面。无论登陆页面看起来多么精良,一旦它要求输入 12 或 24 个单词,你就正在被抢劫。

盗取你助记词的虚假"Ledger Live 更新"页面

如果你点击了链接,你会进入一个几乎完美的 Ledger Live 引导屏幕克隆页面。品牌完全一致。动态设备插图是从 Ledger 自己的 CDN 拉取的真实图片。URL 栏显示 ledger-live-update.com 或类似域名,对于疲惫的用户来说读起来像是"哦,这是更新页面"。

页面引导你完成两三个虚假"验证"步骤。它可能要求你插入设备(以建立信任)。它可能显示一个带有"正在检查固件签名..."的虚假加载动画。然后是真正的载荷:一个屏幕说你的设备需要与 Ledger Live"重新同步",并要求你输入 24 个恢复单词才能继续。

真正的 Ledger Live 应用程序从不要求你的恢复短语。不在设置期间,不在更新期间,不在交易期间,任何情况下都不会。恢复短语仅在初始设置期间在物理设备本身上输入一次。那是那些单词唯一应该被输入任何地方的时候。

你在那个虚假页面上输入 24 个单词的那一刻,攻击者服务器上的盗刷脚本会从你的种子推导出每一个钱包地址并并行清空它们。比特币、以太坊、Solana、Polygon、Arbitrum、Base——你的种子控制的每条链。盗刷通常在 30 到 90 秒内完成。如果你在输入中途意识到并停止,假设部分助记词已经到了他们手中,因为页面在你输入时会将每个单词实时流传到攻击者服务器。

为何 Ledger 绝对不会通过邮件索要你的助记词

这是从根本上消除每一次 Ledger 网络钓鱼尝试的唯一规则。Ledger 公司不知道你的恢复短语,也无法知道。这 24 个单词是由你物理设备内的安全芯片在第一次设置时生成的。它们在设备屏幕上显示一次。它们从未被传输到 Ledger 的服务器,从未被备份到云端,从未与你的账户关联,从未在任何地方被记录。

这是硬件钱包的整个安全模型。种子存储在芯片上,操作在芯片上签名,外部世界——包括 Ledger 本身——永远看不到种子。没有任何支持人员可以"帮助你"而需要它。没有任何自动化系统"验证你的设备"需要它。没有任何固件更新"重新同步"需要它。

如果任何东西,在任何地方,任何时候,要求你将恢复短语输入到电脑、手机、网站、邮件回复、聊天机器人、支持工单或任何形式的表格中,那都是攻击者。这条规则没有例外。

如果你已经输入了助记词该怎么办

如果你已经将 24 个单词输入到了网页中,请假设最坏的情况并迅速行动。每一分钟都很重要,因为盗刷是自动化的,你的资金可能已经在移动了。

  1. 假设设备已完全被攻陷。种子已经泄露。你的设备本身是好的硬件,但它持有的秘密不再是秘密。不要向从该种子派生的任何地址发送新资金。
  2. 立即将所有资金转移到拥有全新种子的新钱包。使用不同的、已知干净的设备,或设置一个拥有全新 24 个单词的新 Ledger。与盗刷者赛跑。将被攻陷地址中的所有资金发送到新地址。从价值最高的链开始。
  3. 恢复出厂设置被攻陷的设备并生成全新的种子。资金转移后,通过设置清除旧设备并重新开始设置。新种子必须从未接触过互联网。
  4. 如果资金已经被盗,请参阅我们的助记词被盗救援指南它涵盖了 Etherscan 追踪、向 Chainalysis 举报、交易所冻结请求,以及实际恢复可能性的现实评估。
  5. 检查每条链,不仅仅是以太坊。骗子会清空所有链。查看比特币、以太坊、Solana、Polygon、Arbitrum、Optimism、Base、BNB Chain、Avalanche、Cosmos 以及你曾经使用过的任何 Layer 2。在 Etherscan 上看起来为空的钱包可能在你忘记的某条链上仍有有价值的资金。

保护自己免受 Ledger 针对性网络钓鱼的未来攻击

由于你的电子邮件永久留在泄露名单上,网络钓鱼不会停止。你的防御策略必须是行为性的,而非被动应对的。

  • 只从 ledger.com 直接安装 Ledger Live。不从搜索引擎结果,不从广告,不从邮件中的链接。针对"ledger live 下载"的搜索广告经常被骗子购买,排名第一的结果有时是虚假的。
  • 将 ledger.com/start 加入书签,每次都使用书签。肌肉记忆胜过警惕性。
  • 在邮件客户端中关闭自动加载图片。网络钓鱼邮件使用追踪像素来了解泄露名单中哪些地址是活跃的。
  • 为加密货币服务使用专用的电子邮件别名。Apple Hide My Email、Firefox Relay、SimpleLogin、Addy.io 都有效。永远不要将你的主要邮箱暴露给交易所、钱包或链上服务。
  • 对于每封 Ledger 邮件:验证发件人,不要点击,手动打开 ledger.com。如果邮件中的声明是真实的,你会在 Ledger Live 应用程序或官方博客上看到相同的通知。
  • 安装浏览器级别的网络钓鱼防护盾。SafeBrowz 会检查你访问的每个页面,对照 500+ 个已知被冒充的品牌(包括 Ledger),加上 100 多种语言的 AI 内容分析,能在新的虚假 Ledger Live 变体出现后立即发现,而不是等到几个月后它们出现在静态黑名单上。我们还发布了一份涵盖同类攻击的虚假 CAPTCHA 变体的 ClickFix 保护指南。

2020 年数据库泄露:如果你的邮箱在列表上该怎么办

如果你在 2020 年 7 月之前购买过 Ledger 设备,你的数据几乎肯定在公开转储中。将这视为永久状况,而非可以补救的问题。

  • 查看 haveibeenpwned.comLedger 泄露事件已在那里建立索引。输入你在 Ledger 结账时使用的电子邮件进行确认。
  • 考虑为所有加密货币服务迁移到新的电子邮件别名。旧地址已经被烧掉了。即使你今天清理收件箱,网络钓鱼也会永远持续,因为你的地址在一个已被复制了数千次的文件中。
  • 无限期预期网络钓鱼尝试。没有任何"标记为垃圾邮件"的数量最终能阻止洪流。不同的骗子相互租用这份名单。设置过滤器,将任何包含"Ledger"的消息隔离到你手动查看的文件夹中。
  • 默认将每封 Ledger 品牌的邮件视为恶意。即使看起来真实。即使发件人看起来正确。即使时机与你正在期待的事情相符。对任何 Ledger 邮件的安全响应始终是:关闭邮件,打开浏览器,输入 ledger.com,从那里检查。

有关识别任何品牌虚假网站(不仅仅是 Ledger)的更广泛框架,请参阅我们关于如何判断网站是否为骗局的指南。