錢包製造商 Trezor 透過 X 平台發布安全警報,指出駭客透過聯絡表單寄出宛如官方支援信,誘導用戶交出錢包備份。雖然 Trezor 確認郵件資料庫與錢包都未被入侵,事件仍再次說明,只要涉及人為互動,硬體錢包也可能失守。
(前情提要:Web3安全指南:盤點硬體冷錢包的常見陷阱)
(背景補充:幣安調查顯示安全意識成熟:超80%亞洲用戶啟用2FA、73%以上轉帳前複查地址)
硬體錢包製造商 Trezor 昨(24)日透過 X 平台發佈安全警告,揭示其發現一項安全問題。Trezor 稱攻擊者濫用 Trezor 的聯繫表單,發送看似來自官方的支援回覆電子郵件,試圖進行詐騙。這些偽裝成合法 Trezor 支援的電子郵件,實為釣魚攻擊,旨在竊取用戶的敏感資訊:
重要更新
我們發現一個安全問題,攻擊者濫用我們的聯繫表單,發送看似合法的 Trezor 支援回覆電子郵件,實為詐騙。
這些詐騙郵件看似正規,但屬於釣魚攻擊。
請謹記,絕不分享您的錢包備份,備份必須始終保持私密且離線。Trezor 永遠不會要求您提供錢包備份。
此問題已受控。
安全是一持續進程,請保持警覺。
隨後,Trezor 繼續補充事件詳情,強調並未發生電子郵件系統洩露。攻擊者以受影響的用戶地址名義聯繫 Trezor 的支援團隊,觸發系統自動回覆,生成看似合法的支援訊息。Trezor 澄清,其聯繫表單本身依然安全可靠,目前已控制該問題。同時,公司正積極研究防範未來類似濫用行為的方法:
事件經過
並無電子郵件洩露。
攻擊者以受影響地址的名義聯繫我們的支援團隊,觸發自動回覆,偽裝成合法的 Trezor 支援訊息。
我們的聯繫表單依然安全可靠。
我們正積極研究防止未來濫用的方法。
請保持警覺,絕不分享您的錢包備份!
Here’s what happened
There was no email breach.
Attackers contacted our support on behalf of affected addresses, triggering an auto-reply as a legitimate Trezor support message.
Our contact form remains safe and secure.
We're actively researching ways to prevent future…
— Trezor (@Trezor) June 23, 2025
用戶自保重點
面對此類釣魚詐騙,投資者應採取以下措施保護其加密貨幣資產:
- 核對寄件人:官方信件多半使用指名稱呼與固定網域。看到拼寫差異或匿名問候時立即存疑。
- 拒絕點擊不明連結:不要在郵件內輸入任何敏感資料,必要時另開瀏覽器手動鍵入網址。
- 備份離線保存:將助記詞刻在金屬板或寫在紙上,放置安全位置,不拍照、不雲端保存。
- 定期更新韌體與防毒:保持硬體錢包、電腦作業系統與防毒軟體在最新版本,降低已知漏洞風險。
- 購買來源可信:僅在官方網站或授權通路購買裝置,避開二手或來源不明的硬體。
正如 Trezor 強調,安全是一個持續的過程,用戶應時刻保持警惕,以確保資產安全。
📍相關報導📍
Vitalik 數學模型揭秘:Rollup何時邁向「完全去中心化」?系統安全是關鍵
