本文將圍繞硬體錢包的購買、使用和存放三大環節,梳理常見風險,結合真實案例解析典型騙局,並給予實用防護建議,幫助用戶有效保護加密資產安全。
(前情提要:抖音販售冷錢包「遭竊690萬美元」,慢霧分析:生成私鑰途中外洩 )
(背景補充:冷錢包用戶注意!ESP32晶片遭爆漏洞「可偷取比特幣私鑰」 如何檢查設備是否有風險? )
在上一期 Web3 安全入門避坑指南中,我們聊到了剪貼簿安全。近期,一位受害者聯絡到慢霧安全團隊,稱其在抖音購買到被篡改的冷錢包,導致約 5,000 萬元的加密資產被盜。本期我們聚焦一個大家普遍信賴,但使用中卻存在諸多誤區的工具 —— 硬體錢包。
(https://x.com/SlowMist_Team/status/1933799086106538101)
硬體錢包因私鑰離線儲存,一直被視為保護加密資產的可靠工具。然而,隨著加密資產價值不斷攀升,針對硬體錢包的攻擊手段也不斷升級:從假冒硬體錢包、偽韌體更新 / 驗證、釣魚網站,到精心設計的社會工程陷阱,許多使用者在不經意間落入陷阱,最終資產被洗劫一空。看似安全的裝置,實則暗藏後門;看似官方的郵件,實則來自攻擊者之手。
本文將圍繞硬體錢包的購買、使用和存放三大環節,梳理常見風險,結合真實案例解析典型騙局,並給出實用防護建議,幫助使用者有效保護加密資產安全。
購買環節的風險
購買方面主要有兩類騙局:
假錢包:裝置外觀正常,實則韌體已被篡改,一旦使用,私鑰可能悄無聲息地洩露;
真錢包 + 惡意引導:攻擊者利用使用者缺乏安全知識,通過非官方渠道出售 「已被初始化」 的裝置,或者誘導使用者下載偽造的配套應用,再通過釣魚或社工手段完成收割。
我們來看一個典型案例:
某使用者從電商平臺購買了一款硬體錢包,開啟包裝後發現說明書居然長得像刮刮卡。攻擊者通過提前啟用裝置、獲取助記詞後,再將硬體錢包重新封裝,並配上偽造說明書,通過非官方渠道出售。一旦使用者按照說明掃碼啟用並將資產轉入錢包地址,資金便立即被轉走,落入假錢包標準盜幣流程。
這類騙局針對首次接觸硬體錢包的使用者。由於缺乏相關背景知識,使用者並未意識到 「出廠預設助記詞」 本身就是嚴重的安全異常。
除了這類 「啟用 + 重封裝」 的套路,還有一種更隱蔽、更高階的攻擊方式:韌體層面的篡改。
裝置內的韌體,在外觀完全正常的情況下被植入後門。對使用者而言,這類攻擊幾乎無法察覺,畢竟韌體校驗、拆機驗證成本不低,也並非是每個人都具備的技能。
一旦使用者將資產存入此類裝置,隱藏的後門便悄然觸發:攻擊者可遠端提取私鑰、簽署交易,將資產轉移至自己的地址。整個過程悄無聲息,等使用者察覺時,往往為時已晚。
(https://x.com/kaspersky/status/1658087396481613824)
因此,使用者務必通過品牌官網或官方授權渠道購買硬體錢包,避免因貪圖便利或便宜而選擇非正規平臺。尤其是二手裝置或來路不明的新品,可能早已被篡改、初始化。
使用過程中的攻擊點
簽名授權中的釣魚陷阱
硬體錢包雖然能隔離私鑰,卻無法杜絕 「盲籤」 帶來的釣魚攻擊。所謂盲籤,就像在一張空白支票上簽字 —— 使用者在未明確知曉交易內容的情況下,便對一串難以辨認的簽名請求或hash資料進行了確認。這意味著,哪怕是在硬體錢包的保護下,使用者仍可能在毫無察覺的情況下,授權了一筆向陌生地址的轉帳,或執行了帶有惡意邏輯的智慧合約。
盲籤攻擊常通過偽裝巧妙的釣魚頁面誘導使用者簽名,過去幾年中,駭客通過這類方式盜走了大量使用者資產。隨著 DeFi、NFT 等智慧合約場景不斷擴展套件,簽名操作愈發複雜。應對之道,是選擇支援 「所見即所籤」 的硬體錢包,確保每筆交易資訊都能在裝置螢幕上清晰顯示並逐項確認。
攻擊者還善於借勢行騙,尤其是打著 「官方」 的旗號。比如 2022 年 4 月,Trezor 這款知名硬體錢包的部分使用者,收到了來自 trezor [.] us 域名的釣魚郵件,實際上 Trezor 官方域名是 trezor [.] io,另外釣魚郵件裡傳播瞭如下域名:suite [.] trẹzor [.] com。
這個 「ẹ」 看起來像個正常的英文字母,實際上這是 Punycode。trẹzor 的真身實際長這樣:xn--trzor-o51b。
攻擊者還會藉助真實的安全事件做文章,提升欺騙成功率。2020 年,Ledger 發生了一起資料洩露事件,約有 100 萬個使用者的電子郵件地址洩露,且其中有一個包含 9,500 名客戶的子集,涉及姓名、郵寄地址、電話號碼以及購買產品資訊。攻擊者掌握了這些資訊後,假冒 Ledger 的安全與合規部門,向用戶傳送釣魚郵件,信中聲稱錢包需要升級或進行安全驗證。郵件中會誘導使用者掃描二維碼,跳轉到釣魚網站。
(https://x.com/mikebelshe/status/1925953356519842245)
(https://www.reddit.com/r/ledgerwallet/comments/1l50yjy/new_scam_targeting_ledger_users/)
此外,還有部分使用者收到了快遞包裹,包裹裡的裝置外包裝甚至使用了收縮膜封裝。包裹中包含一臺偽造的 Ledger Nano X 錢包,以及帶有官方信頭的偽造信件,信中聲稱這是為了響應之前的資料洩露事件,為使用者更換 「更安全的新裝置」。
(https://www.reddit.com/r/ledgerwallet/comments/o154gz/package_from_ledger_is_this_legit/)
實際上,這些 「新裝置」 是被篡改過的 Ledger,內部電路板上額外焊接了一個 U 盤,用於植入惡意程式。偽造的說明書會引導使用者將裝置連線電腦,執行自動彈出的應用程式,並按照提示輸入原錢包的 24 個助記詞進行 「遷移」 或 「恢復」。一旦輸入助記詞,資料便會被髮送給攻擊者,資金隨即被盜。
中間人攻擊
想像你給朋友寄信,一個使壞的郵差在路上攔截,將信件內容悄悄篡改後再封回去。朋友收到信時毫不知情,以為那是你的原話。這就是中間人攻擊的本質。硬體錢包雖能將私鑰隔離,但完成交易時仍需通過手機或電腦上的錢包應用,以及 USB、藍芽、二維碼等 「傳話管道」。這些傳輸鏈路就像 「看不見的郵差」,一旦其中任何環節被控制,攻擊者就能悄無聲息地篡改收款地址或偽造簽名資訊。
OneKey 團隊曾向 Trezor 和 MetaMask 報告了一箇中間人攻擊漏洞:當 MetaMask 連線 Trezor 裝置時,會立刻讀取裝置內部的 ETH 公鑰,並在軟體端基於不同的派生路徑計算地址。此過程缺乏任何硬體確認或提示,給中間人攻擊留下了可乘之機。
如果本地惡意軟體控制了 Trezor Bridge,就相當於通訊鏈路出現了一個 「壞郵差」,攻擊者可以攔截並篡改所有與硬體錢包的通訊資料,導致軟體介面顯示的資訊與硬體實際情況不符。一旦軟體驗證流程存在漏洞或使用者未仔細確認硬體資訊,中間人攻擊便可能成功。
存放與備份
(https://x.com/montyreport/status/1877102173357580680)
最後,存放與備份同樣重要。切勿將助記詞儲存或傳輸於任何聯網裝置和平臺,包括備忘錄、相簿、收藏夾、傳輸助手、郵箱、雲筆記等。此外,資產安全不僅要防範駭客攻擊,還需防範意外災害。雖然紙質備份相對安全,但如果保管不當,可能面臨火災或水浸等風險,導致資產難以恢復。
因此,建議將助記詞手寫在實體紙上,分散存放於多個安全地點。對於高價值資產,可考慮使用防火防水的金屬板。同時,定期檢查助記詞的存放環境,確保其安全且可用。
結語
硬體錢包作為資產保護的重要工具,其安全性還受限於使用者的使用方式。許多騙局並非直接攻破裝置,而是披著 「幫你更安全」 的外衣,引誘使用者主動交出資產控制權。針對本文提及的多種風險場景,我們總結了以下建議:
通過官方渠道購買硬體錢包:非官方渠道購買的裝置存在被篡改風險。
確保裝置處於未啟用狀態:官方出售的硬體錢包應為全新未啟用狀態。如果開機後發現裝置已被啟用,或說明書提示 「初始密碼」、「預設地址」 等異常情況,請立即停止使用並回饋給官方。
關鍵操作應由本人完成:除裝置啟用環節外,設定 PIN 碼、生成繫結碼、建立地址及備份助記詞,均應由使用者親自完成。任何由第三方代為操作的環節,都存在風險。正常情況下,硬體錢包首次使用時,應至少連續三次全新建立錢包,記錄生成的助記詞和對應地址,確保每次結果均不重複。
📍相關報導📍
V神喊「多簽+冷錢包最安全」被駭客打臉,專家:Bybit案衝擊大量機構、資安整頓期或達半年
