联发科 TEE 漏洞可通过 USB 提取安卓钱包助记词与 PIN
Ledger 的 Donjon 团队发现联发科芯片与 Trustonic 受信执行环境(TEE)存在严重漏洞,攻击者在获得物理接触后可通过 USB 在 45 秒内提取安卓手机上的加密数据。该漏洞可在 Android 启动前绕过安全启动链,恢复设备 PIN、解密存储并提取常见移动钱包的助记词(示例包括 Trust Wallet、Base、Kraken Wallet、Rabby、Tangem 手机钱包与 Phantom)。Ledger 在 Nothing CMF 1 手机上复现该攻击,并在联发科 Dimensity 7300(MT6878)上使用电磁故障注入破坏启动校验以取得完全控制。联发科已发布补丁;未更新受影响 Trustonic TEE 固件的设备仍有风险。Ledger 强调通用智能手机难以像独立安全元件那样保护密钥,并建议用户及时安装厂商安全更新,优先使用带专用安全元件的设备进行密钥存储。考虑到数以百万计的安卓用户在手机上管理加密资产,交易者应假定移动端密钥风险上升,并在设备未打补丁前将资金转移至更安全的存储或硬件钱包。
看跌
该漏洞直接针对安卓设备上的助记词和设备 PIN,会增加使用移动软件钱包持有资金被即时、不可逆转丢失的风险。短期影响:受影响手机用户会增加抛售与规避风险的行为,部分用户可能将资产转移到硬件钱包或交易所,从而增加链上活动并对小型代币施加下行压力。长期影响:对主流加密货币的协议价值影响有限,但对移动托管信心的持续下降可能减少零售链上活动,降低移动原生代币与服务的需求。鉴于利用需要物理接触和特定易受影响的硬件/固件,整体市场范围内的价格冲击应可控,但主要由零售移动用户持有的资产在短期内风险上升。交易者应考虑减少对主要存放在移动钱包代币的敞口,监测补丁部署情况,并关注与硬件钱包采用相关的链上资金流向。