假 Ledger 客服邮件 · 让你在网页里输恢复短语

2020 年 7 月 · 那份名单第一次被拖

Marc 没经历过这一天，但这一天决定了 5 年后他会被钓中。2020 年 7 月，Ledger 的 Shopify 后台数据库被拖，约 27 万客户的邮箱、姓名、物理地址流到暗网。这份名单跟普通数据泄露不一样 —— 名单上每一个人 100% 持有硬件钱包，钓鱼成本极低、回报极高。它在暗网论坛被反复转卖，至今没贬值。

2025 年 4 月 19 日 · 邮件到达里昂

Marc 是法国里昂的 Ledger 老用户。这天早上他收到一封邮件，发件人 security@ledger-shop[.]net，主题「Action required · Ledger Live 2.95 firmware update」。邮件正文说有严重漏洞，所有 Nano X / S Plus 用户需要在 72 小时内「重新验证恢复短语」。

邮件做得相当像：Ledger 官方风格的 banner、CEO Pascal Gauthier 的电子签名图、一个「Verify your seed phrase」按钮，链接 ledger-recovery-portal[.]com。整封邮件没有错别字，连结尾 GDPR 声明都贴对了 —— 攻击者照着真邮件改的。

当天上午 10:14 · Marc 输到第 18 个词

他点开链接，页面也很像。开始输入 24 词。输到第 18 个词的时候，网页有一瞬间卡顿 —— 当时他没在意，事后才知道那是攻击者后端开始跑 BIP-39 暴力破解：前 18 个词已知，后 6 个词的搜索空间被压缩到几百万级，普通服务器几分钟就能跑完。

这是 2024 年起新出现的变种。它意味着：即使你输到一半察觉、关闭页面，前面输进去的部分仍可能被用来反推钱包。「我输了一半就停手」并不安全。

上午 10:47 · 钱包清空

30 分钟后，Marc 的硬件钱包里 5.2 BTC + 11 万 USDC 全部转出，约合 18 万欧元。他这才意识到那封邮件是假的。打开真 Ledger Live 看链上记录，资产已经分到 4 个攻击者地址，其中两个 BTC 在 12 分钟内进了一个混币器。

把这条时间线倒回来看

2020 年的数据泄露给了攻击者一份「肯定持币」的精准名单。2024 年新出现的 BIP-39 半截破解技术让「输到一半就察觉」也救不了你。2025 年的钓鱼邮件已经做到 GDPR 声明都不出错。三个时间点叠在一起，普通用户的防线就这么被一句「72 小时内重新验证恢复短语」击穿。

邮件钓鱼的核心从来不是技术，是「不让你思考」。所有让你「72 小时内操作否则丢币 / 数据 / 账号」的邮件，第一反应是关掉、第二反应是举报。Ledger 官方任何渠道都不会让你输入 24 个词 —— 这是硬件钱包行业的基本承诺。

5 条信号 · 下次邮件到的时候记住

• 发件人域名不是 ledger.com 主体 —— 任何变体（ledger-shop / ledger-recovery / ledger-secure）都是假
• 邮件让你「在网页输入恢复短语」—— Ledger 从未也永远不会这样做
• 「72 小时 / 立即 / 强制升级」—— 真公告窗口至少几个月
• 2020 年买过 Ledger 的人 —— 你会反复收到这类邮件，全部当垃圾
• 邮件里 CEO 签名图 / 公司印章 —— 都是 PNG，复制零成本

如果你已经输了 24 个词

那一刻视同泄露。按《私钥泄露应急 · 五步抢救流程》：先用一台从未联网的新设备初始化新硬件钱包、生成新助记词，再按优先级把链上资产转到新地址。BIP-39 半截破解的存在意味着「我只输了几个词」也不安全。

把完整邮件源（含 raw header）发到 Ledger 官方 phishing@ledger.fr。法国本地用户同时提交到 CNIL（数据保护机构）的钓鱼通报通道。