Ledger 冷錢包爆雷！合作商外洩用戶個資，重演 2020 年歷史

Ledger 冷錢包第三方支付商 Global-e 遭駭，用戶個資外洩。ZachXBT 披露，Ledger 證實但強調資金與私鑰安全。2020 年曾洩 27 萬用戶個資引發釣魚攻擊與訴訟。資安專家警告，近期應警覺任何要求助記詞或授權的可疑訊息。

Global-e 是誰？為何成為資安破口

（來源：Global-e）

區塊鏈偵探 ZachXBT 於 1 月 5 日披露，Ledger 的第三方支付處理合作夥伴 Global-e 發生數據外洩，導致部分用戶的個人資料遭到不明人士未經授權存取。Ledger 一直是硬體錢包領域的龍頭，用戶可透過 Ledger 把加密貨幣私鑰離線儲存，被定位成比熱錢包或中心化交易所更安全的資產保管方案，因此在全球擁有廣大的零售與機構用戶基礎，任何關於安全性的風吹草動，都備受幣圈社群關注。

針對外界疑慮，Ledger 官方隨後向媒體證實，確實接獲合作夥伴 Global-e 通知，指出其系統內的訂單數據遭到非法存取。Global-e 是負責處理 Ledger 官方網站跨境交易的名義商家（Merchant of Record），其雲端資料庫中包含了部分在 Ledger 官網購買產品的客戶資訊。

Ledger 發言人強調，這次的資安事件只涉及外部電商合作夥伴的資訊系統，Ledger 自身的平台、硬體或軟體系統並未受到入侵，依然保持安全狀態。由於 Ledger 產品採用自託管（Self-custodial）設計，Global-e 絕對無法存取用戶最重要的 24 個助記詞、區塊鏈餘額或任何與數位資產相關的機密資訊，且這次事件也沒有涉及任何信用卡資訊外洩的問題。

這種說法在技術上成立，但忽略了更大的風險。外洩的姓名、電郵和電話雖然不能直接盜幣，卻為針對性詐騙提供了完美的目標名單。詐騙者知道這些人持有 Ledger 冷錢包，意味著他們擁有一定規模的加密資產，這使得他們成為高價值攻擊目標。

供應鏈資安的三大薄弱環節

第三方支付商：Global-e 等處理跨境交易的合作夥伴掌握訂單資料，成為駭客目標

物流配送商：送貨地址外洩可能導致實體搶劫，2020 年曾有用戶因此遭威脅

客服系統：外包客服若管理不當，可能被社交工程攻破取得用戶資料

2020 年 27 萬用戶外洩的慘痛教訓

Ledger 因合作夥伴而外洩用戶資訊的事件，讓外界再次關注 Ledger 之前的爭議歷史。回顧 2020 年，Ledger 曾發生一起嚴重的資料外洩案，當時駭客成功入侵了與該公司相關的行銷與電子商務資料庫，導致超過 27 萬名用戶的個人資訊被公開在駭客論壇 RaidForums 上。

當時外洩的內容相當詳細，包括用戶姓名、電子郵件地址、電話號碼，甚至部分用戶的居住地址都被曝光，引發用戶大量擔憂與不滿，許多受害者隨後被大量釣魚郵件攻擊與騷擾。雖然 Ledger 當時曾祭出比特幣懸賞令以尋求攻擊者資訊，但後續仍面臨集體訴訟，原告指控 Ledger 與當時的電商合作夥伴 Shopify 未能提供足夠的個資保護措施，讓用戶處在風險之中。

2020 年外洩事件後，大量用戶收到偽裝成 Ledger 官方的釣魚郵件，聲稱需要「更新韌體」或「驗證帳戶」，誘騙用戶輸入 24 字助記詞。部分用戶因此損失數十萬甚至數百萬美元的加密資產。更極端的案例中，有用戶因地址外洩遭到實體威脅，被迫交出冷錢包。

雖然目前還不清楚，這次 Ledger 的 Global-e 事件規模是否會達到 2020 年的程度，但無疑將重新引發市場對於加密貨幣公司及其第三方服務供應商如何處理用戶個資的檢視。對於將安全性視為核心競爭力的硬體錢包公司而言，任何數據外洩都可能影響用戶信心。

針對性釣魚詐騙的實戰防範

資安專家提醒，雖然用戶的 Ledger 錢包資金本身安全無虞，但外洩的姓名與聯繫方式極可能被用於針對性的社交工程詐騙，用戶近期應對任何要求提供助記詞或授權的可疑訊息保持高度警覺。供應鏈資安成隱憂，Ledger 用戶應留意釣魚。

針對性釣魚的特徵是極度個人化。詐騙者會使用你的真實姓名、購買記錄和聯繫方式，偽裝成 Ledger 官方客服，聲稱你的錢包存在安全問題需要「緊急處理」。這種高度客製化的詐騙訊息遠比群發垃圾郵件更具欺騙性。

Ledger 官方永遠不會主動要求用戶提供助記詞或私鑰。任何聲稱來自 Ledger 的郵件、簡訊或電話，只要涉及索取敏感資訊，100% 都是詐騙。正確的做法是直接關閉可疑訊息，登入 Ledger 官網查證，或透過官方客服管道主動聯繫。

對於已確認個資外洩的用戶，建議立即更換與 Ledger 相關的電郵密碼，開啟雙因素認證，並在未來數月內對所有聲稱來自 Ledger 的聯繫保持懷疑態度。若收到可疑訊息，可截圖向 Ledger 官方或區塊鏈偵探 ZachXBT 舉報。