GoPlus 緊急警報：EngageLab SDK 高危漏洞，3000 萬加密錢包私鑰恐外洩

區塊鏈安全平台 GoPlus 於 4 月 10 日發布緊急警報，指廣泛應用於 Android 推播通知的 EngageLab SDK 存在嚴重安全漏洞，波及逾 5,000 萬 Android 用戶，其中約 3,000 萬為加密貨幣錢包用戶。攻擊者可在受害裝置上部署偽裝成合法應用的惡意程式，竊取加密錢包私鑰與登入憑證。

漏洞技術原理：靜默執行的跨應用攻擊鏈

（來源：GoPlus）

此次漏洞的核心缺陷在於 EngageLab SDK 對 Android 系統 Intent 通訊機制的處理未進行充分來源驗證。Intent 是 Android 應用間傳遞指令的合法機制，但 EngageLab SDK 的實現允許未授權來源的指令繞過正常驗證流程，觸發目標應用執行敏感操作。

完整攻擊鏈三步驟

惡意應用植入：攻擊者將惡意程式偽裝成合法 App，誘使受害者安裝於同一 Android 裝置

惡意 Intent 注入：惡意 App 向同裝置上已整合 EngageLab SDK 的加密錢包或金融應用，發送精心構造的惡意 Intent

越權操作執行：目標應用收到 Intent 後，在用戶不知情的情況下執行未授權操作，包括竊取錢包私鑰、登入憑證及其他敏感數據

此攻擊鏈的最大危險性在於其靜默性：受害者無需主動操作，只要裝置上同時存在惡意應用與含漏洞版本的 EngageLab SDK 應用，攻擊即可在背景完成。

影響規模：加密用戶面臨不可逆資產損失風險

EngageLab SDK 作為廣泛部署的推播通知基礎元件，被整合進數千款 Android 應用，使此次漏洞的波及範圍達到 5,000 萬裝置的規模，其中加密貨幣錢包用戶約 3,000 萬。

加密錢包私鑰一旦外洩，攻擊者即可完全掌控受害者的鏈上資產，且區塊鏈交易的不可逆特性意味著此類損失幾乎無法追回，風險程度遠超一般應用資料外洩事件。

緊急應對措施：開發者與用戶的即時行動清單

分群安全建議

1. 應用程式開發者與廠商

· 立即核查產品是否整合 EngageLab SDK，確認當前版本是否低於 4.5.5

· 升級至 EngageLab SDK 4.5.5 或以上官方修復版本（請參閱 EngageLab 官方文件）

· 重新發布更新後版本，並通知用戶盡快完成更新

2. 一般 Android 用戶

· 立即前往 Google Play 更新所有應用，優先處理加密錢包與金融類 App

· 對來源不明或非官方渠道下載的 App 保持警覺，必要時立即刪除

· 若懷疑私鑰已外洩，應立即在安全裝置上建立新錢包，轉移資產並永久停用舊地址

常見問題

EngageLab SDK 是什麼，為何被廣泛整合於加密錢包？

EngageLab SDK 是提供 Android 推播通知功能的第三方軟體套件，因部署便利被大量應用採用。推播通知幾乎是所有移動應用的標配功能，這也使 EngageLab SDK 在加密錢包及金融應用中廣泛存在，進而導致此次漏洞的波及規模達到 5,000 萬用戶。

如何確認自己的裝置是否受此漏洞影響？

若您的 Android 裝置安裝了加密錢包或金融應用，且尚未更新至最新版本，則存在受影響風險。建議立即在 Google Play 商店更新所有應用。開發者可透過核查應用內的 SDK 版本號，確認是否使用了低於 4.5.5 版本的 EngageLab SDK。

私鑰若已外洩，應如何緊急處置？

應立即在未受感染的安全裝置上建立全新錢包地址，將原錢包所有資產轉移至新地址，並永久停用原有地址。同步更改所有相關平台的登入密碼，並為帳號啟用雙重驗證，以降低後續遭進一步入侵的風險。