三大冷钱包商被骇？Trezor、Ledger、KeepKey 惊传逾 8 万位用户资料遭拍卖！

加密货币钱包分为两种，一种是在连网状态下生成地址与私钥的热钱包，一个是只有在需要交易时才会连线上网的冷钱包；理论上来说，由于热钱包的私钥无时无刻都暴露在网上，尽管比起冷钱包更为方便操作，但遭到骇客窃取的风险也更高。可是，这并不代表冷钱包就是安全无虞的

网路安全公司 Under The Breach 昨24日发文指出，有一位骇客在以太坊论坛上声称自己窃取了 Trezor、Ledger 和 KeepKey 三大冷钱包供应商的用户数据资料，据称都是利用了电商巨头 Shopify 系统漏洞。

根据推文中张贴的图片显示，遭到暴露的数据有 41488 位 Ledger 的用户资料、Trezor 则是 27185 位、KeepKey 也有 14000 位；骇客声称，这些资料包含了用户名称、地址、手机号码、电子信箱等，但并不包括密码。

不仅如此，骇客还扫荡了许多知名网站的数据库，包括以太坊论坛、Loanbase、Korbit 等交易所或平台，都有数量不等的资产负债表、提款记录遭到外泄；最糟糕的是，被当成攻击目标之一的知名众筹平台 BnkToTheFuture，连 SQL 资料库都遭到入侵。

Under The Breach 张贴的一段对话指出，骇客似乎是透过加拿大的电商巨头 Shopify 取得这些资料，有一部分还是从另一大电商巨头亚马逊Amazon，还有一些则是从实体店面；也就是说，这恐怕不仅只涉及到冷钱包制造商，还引发了几家知名电商的安全危机。

骇客似乎并不担心将事情闹大，还嚣张地在拍卖文章中写道：只欢迎大笔的交易。

业者回应

《Decrypt》访问了 Shopify 的公关经理 Candice So，她表示 Shopify 已经针对这起事件展开了调查，但并未发现任何证据资料库有被入侵的痕迹，Shopify 的系统亦没有遭到破坏的迹象；不过，这位骇客曾经在 2016 年攻击过以太坊论坛，因此不得不更加谨慎。

另一方面，顶尖的冷钱包制造商 Trezor 则在推特上回应道，他们并没有使用 Shopify 作为线上渠道，不过，为求安稳，Trezor 将会对立即启动调查；此外，Trezor 还表示，他们一直都会定期删除旧用户的资料，目的就是要在资料库受到攻击时，能最小化它带来的影响。

Ledger 也同样发表了推文表示，他们的电商团队正在确认分析数据库外泄的可能性；就现阶段为止，Ledger 认为 Under The Breach 的指控与事实并不相符。Ledger 声明，他们将会继续调查，并承诺将会非常认真的看待这起事件。

较上面两家冷钱包供应商的积极态度不同的是，Under The Breach 在留言中透露，他们曾试图联络众筹平台 BnkToTheFuture 并告知这起骇客攻击事件，但似乎无法引起 BnkToTheFuture 认真地看待；至于 KeepKey 的母公司 ShapeShift，目前还尚未回应此事件。

相关报导

LINE 与 Messenger 不定期为大家服务