用戶在抖音電商買到被動過手腳的冷錢包,一夜損失 690 萬美元,揭露硬體供應鏈攻擊風險。
(前情提要:抖音上買到「後門冷錢包」,某加密投資者損失人民幣5000萬 )
(背景補充:冷錢包用戶注意!ESP32晶片遭爆漏洞「可偷取比特幣私鑰」 如何檢查設備是否有風險?)
今日(16)一名加密投資人透過 Douyin Shop 入手「原廠封條、低價搶購」的冷錢包,隔日醒來卻發現帳戶被清空 690 萬美元。SlowMist 追蹤鏈上資料指出,私鑰在製造階段就外洩,駭客把資金匯入柬埔寨 Huiwang 集團控制的通道,短短數小時完成洗錢。事件凸顯硬體供應鏈攻擊火力正向錢包市場轉移。
惡意韌體鎖定私鑰生成
SlowMist 技術團隊抽取該錢包韌體,比對原廠映像檔後發現多出一段 4KB 程式碼,用來回傳 Seed Phrase。調查報告顯示,惡意程式包含固定 IP 清單,交易被盜資產亦循相同節點流向 Huiwang 地址。前 Bitmain 成員 Hella 透露,受害者通話時形容「整個錢包是一個精心設計的熱陷阱」。
「別為省幾百美元把一生積蓄押上去。」
SlowMist CISO「23pds」如上提醒。
供應鏈攻擊不只錢包
分析師 點名,駭客早已在印表機驅動程式、山寨 Android 手機埋伏相對應的木馬,六月另一則 印表機驅動竊幣案和 山寨手機預載木馬 也採用相近手法,把惡意程式提前植入生產線。資安研究員指出,硬體產品越趨模組化,單一零件被替換就足以打開後門。
官方購買、離線初始化才可靠
資安專家建議:第一,直接向原廠或授權經銷通路採買,避開來歷不明的折扣。第二,拆封後先在離線環境生成 Seed Phrase,並加設 Passphrase 強度。第三,保持韌體更新、多因素驗證並定期監控資產異動。冷錢包能降低網路攻擊風險,但若私鑰在生產線就「裸奔」,再高的金庫也守不住。
📍相關報導📍
V神喊「多簽+冷錢包最安全」被駭客打臉,專家:Bybit案衝擊大量機構、資安整頓期或達半年
