Svmuu訊 Ledger 旗下安全研究團隊 Donjon 發現 MediaTek 處理器安全啓動鏈中的一個漏洞,攻擊者可在物理接觸手機的情況下,通過 USB 連接在操作系統加載前提取加密密鑰,解密設備存儲,從而在約 45 秒內獲取設備 PIN 碼及加密錢包助記詞。概念驗證測試中,該漏洞成功從 Trust Wallet、Kraken Wallet 和 Phantom 等錢包應用中提取了敏感數據。
研究人員表示,該漏洞可能影響約 25%的 Android 手機,涉及使用 MediaTek 芯片及 Trustonic 可信執行環境的機型。Ledger 首席技術官 Charles Guillemet 表示,智能手機從未被設計為保險庫,該漏洞雖可通過補丁修復,但表明在非安全設備上存儲密鑰存在固有風險,建議用户儘快更新安全補丁。
據 TRM Labs 數據,2025 年上半年被盜的 21 億美元加密資產中,超過 80%源於私鑰盜竊、助記詞竊取及前端劫持等基礎設施攻擊。Chainalysis 數據顯示,2024 年全年加密資產盜竊損失超過 34.1 億美元,個人錢包被盜佔比從 2022 年的 7.3%上升至 2024 年的 44%。