7月29日,法国知名加密货币硬件钱包制造商Ledger发布公告称,其电商数据库在6月底遭到黑客入侵,导致约100万个客户邮箱地址泄露。同时,另有约9500名客户的详细信息——包括姓名、邮寄地址和电话号码——也被曝光。不过,Ledger强调用户资金和加密资产安全,未受此次事件影响。
事件细节:API密钥泄露成突破口
据Ledger官方博客透露,此次攻击发生在6月25日。一名第三方黑客利用Ledger的API密钥(后已被禁用)未经授权访问了该公司的营销与电商数据库——该数据库主要用于发送订单确认邮件和促销信息。Ledger通过漏洞赏金计划在7月14日接到一名研究人员的报告后才发现漏洞,并立即修复,但此时数据已遭泄露。
被泄露的数据包括:所有受影响客户的邮箱地址;以及其中9500名客户的姓、名、邮寄地址和电话号码。幸运的是,支付信息、密码以及数字资产私钥均未被触及。Ledger明确表示:“此次数据泄露与我们的硬件钱包或Ledger Live的安全性没有任何关联,对您的加密资产没有影响,您的资产是安全的。”
漏洞修复与监管响应
Ledger表示对此次事件“深感遗憾”。公司已于7月17日向法国数据保护机构CNIL提交报告,并在4天后与网络安全公司Orange Cyberdefense合作,评估数据泄露的潜在损害,并寻找其他可能的安全缺口。截至目前,Ledger没有发现被盗数据在暗网或公开网站上出售的证据,但警告用户需“始终警惕恶意诈骗者的钓鱼攻击”。
行业警示:硬件钱包的安全性再受关注
作为加密硬件钱包市场的领导者,Ledger此次数据泄露事件虽未直接危及用户资金,但个人信息的泄露可能为钓鱼攻击提供精准素材。市场分析师指出,黑客可能利用已泄露的邮箱和地址发送伪装成Ledger官方通知的欺诈邮件,诱导用户提供助记词或下载恶意软件。Ledger建议用户不要回复任何索要私钥或助记词的邮件,仅通过官网渠道下载更新。
此次事件也再次引发业界对加密货币服务商数据保护能力的讨论。随着加密行业用户规模扩大,涉及财务与身份信息的数据库正在成为黑客的重点目标。硬件钱包厂商在确保设备物理安全的同时,也必须加强其电商与营销系统的防护层级。

