你的安卓手機可能只需不到 60 秒就能將你的加密貨幣錢包交給你。
Ledger 的安全團隊剛剛披露了聯發科晶片的一個硬體漏洞,任何能夠物理接觸到你手機的人都可以在手機啟動前獲取你的 PIN 碼和助記詞。只需一條 USB 線即可。任何軟體修補程式都無法修復此漏洞,因為它已經寫入晶片內部。
問題晶片是天璣7300。它影響了大約25%的安卓設備。就連Solana Seeker手機也在其中。
聯發科早在2025年5月就被告知了這個問題。解決方法?沒有。如果你擁有這款晶片,就代表你有這個漏洞。
對於任何在手機錢包裡存入真錢的人來說,這都是一個打擊。
啟動 ROM 漏洞如何繞過 Android 安全機制
缺陷存在於啟動ROM中。那是出廠時燒錄到晶片裡的程式碼,永遠無法更新。
Ledger團隊利用電磁脈衝幹擾晶片啟動。他們精準控制電壓波動,迫使處理器跳過自身的安全檢查。一旦這種情況發生,攻擊者就能獲得EL3權限。
這是在ARM架構上所能達到的最高控制等級。完全存取權限。遊戲結束。
測試中,他們每次嘗試大約只需 1 秒鐘即可完成。
之後,整個資料分割區都會被離線解密。私鑰、PIN碼,所有你原本應該在可信執行環境中保護的訊息,全都消失了。
在這裡,任何應用層級的安全措施都無濟於事。底層架構本身就存在缺陷。
數百萬台設備曝光,包括Solana Seeker。
數百萬部中階安卓手機受到影響。而且,目前還沒有針對已上市設備的修補程式。
聯發科的回應基本上是「物理攻擊並非我們的問題」。但當人們在這些手機裡儲存大量資金時,這種說法就站不住腳了。
數據也印證了這一點。 2024年,加密貨幣竊盜金額高達34.1億美元。個人錢包目前佔所有被盜金額的44%。而在2022年,這一比例為7.3%。
Ledger 的技術長也說過,手機從來就不是用來當保險庫的。如果你在手機錢包裡存了真金白銀,現在就把它轉移到硬體錢包裡。
2026 年 3 月的 Android 安全公告中將包含一個軟體解決方法。
現在真正的問題是,行動優先的加密貨幣項目能否經得起硬體信任危機的考驗。如果基礎架構持續出現問題,那麼將加密貨幣儲存在手機上的整個概念也將瓦解。
