有人让我说说这个假 Ledger 攻击的看法,2021 年就开始流行了,钓鱼团伙给 Ledger 用户邮寄了假的 Ledger 设备,告知用户由于更早之前数据泄露问题,用户不得不把旧 Ledger (真 Ledger)里的助记词安全转移到新 Ledger 上(假 Ledger)。
这个假 Ledger 的假说明书会引导用户将假 Ledger 连接到电脑上,然后在电脑上运行假 Ledger 应用程序…接着继续诱导用户将自己真 Ledger 里的助记词输入进这个假 Ledger 应用程序里…
这是一种骗局方式。其他的变种还有些,针对的是知名硬件钱包,比如在假说明书里固定助记词,引导用户使用这种所谓初始化已激活的助记词…
最后,我不确定是不是有篡改随机数生成器的真实案例,造成硬件钱包生成的助记词来自弱熵,之后容易被碰撞出。
许多人觉得这类偏物理的攻击有些不可思议,其实这类撒网攻击方式都有成功概率的,只要有鱼儿上钩,会用硬件钱包的鱼往往都比较肥…
