近期，一位受害者聯(lián)系到慢霧安全團(tuán)隊(duì)，稱(chēng)其在抖音購(gòu)買(mǎi)到被篡改的冷錢(qián)包，導(dǎo)致約 5000 萬(wàn)元的加密資產(chǎn)被盜。本文聚焦一個(gè)大家普遍信賴，但使用中卻存在諸多誤區(qū)的工具 ——?硬件錢(qián)包。

(https://x.com/SlowMist_Team/status/1933799086106538101)

硬件錢(qián)包因私鑰離線存儲(chǔ)，一直被視為保護(hù)加密資產(chǎn)的可靠工具。然而，隨著加密資產(chǎn)價(jià)值不斷攀升，針對(duì)硬件錢(qián)包的攻擊手段也不斷升級(jí)：從假冒硬件錢(qián)包、偽固件更新 / 驗(yàn)證、釣魚(yú)網(wǎng)站，到精心設(shè)計(jì)的社會(huì)工程陷阱，許多用戶在不經(jīng)意間落入陷阱，最終資產(chǎn)被洗劫一空。看似安全的設(shè)備，實(shí)則暗藏后門(mén)；看似官方的郵件，實(shí)則來(lái)自攻擊者之手。

本文將圍繞硬件錢(qián)包的購(gòu)買(mǎi)、使用和存放三大環(huán)節(jié)，梳理常見(jiàn)風(fēng)險(xiǎn)，結(jié)合真實(shí)案例解析典型騙局，并給出實(shí)用防護(hù)建議，幫助用戶有效保護(hù)加密資產(chǎn)安全。

?01?

購(gòu)買(mǎi)環(huán)節(jié)的風(fēng)險(xiǎn)

購(gòu)買(mǎi)方面主要有兩類(lèi)騙局：

我們來(lái)看一個(gè)典型案例：

某用戶從電商平臺(tái)購(gòu)買(mǎi)了一款硬件錢(qián)包，打開(kāi)包裝后發(fā)現(xiàn)說(shuō)明書(shū)居然長(zhǎng)得像刮刮卡。攻擊者通過(guò)提前激活設(shè)備、獲取助記詞后，再將硬件錢(qián)包重新封裝，并配上偽造說(shuō)明書(shū)，通過(guò)非官方渠道出售。一旦用戶按照說(shuō)明掃碼激活并將資產(chǎn)轉(zhuǎn)入錢(qián)包地址，資金便立即被轉(zhuǎn)走，落入假錢(qián)包標(biāo)準(zhǔn)盜幣流程。

這類(lèi)騙局針對(duì)首次接觸硬件錢(qián)包的用戶。由于缺乏相關(guān)背景知識(shí)，用戶并未意識(shí)到“出廠預(yù)設(shè)助記詞”本身就是嚴(yán)重的安全異常。

https://www.reddit.com/r/ledgerwallet/comments/w0jrcg/is_this_a_legit_productbought_from_amazon_came/

除了這類(lèi)“激活 + 重封裝”的套路，還有一種更隱蔽、更高階的攻擊方式：固件層面的篡改。

設(shè)備內(nèi)的固件，在外觀完全正常的情況下被植入后門(mén)。對(duì)用戶而言，這類(lèi)攻擊幾乎無(wú)法察覺(jué)，畢竟固件校驗(yàn)、拆機(jī)驗(yàn)證成本不低，也并非是每個(gè)人都具備的技能。

一旦用戶將資產(chǎn)存入此類(lèi)設(shè)備，隱藏的后門(mén)便悄然觸發(fā)：攻擊者可遠(yuǎn)程提取私鑰、簽署交易，將資產(chǎn)轉(zhuǎn)移至自己的地址。整個(gè)過(guò)程悄無(wú)聲息，等用戶察覺(jué)時(shí)，往往為時(shí)已晚。

https://x.com/kaspersky/status/1658087396481613824

因此，用戶務(wù)必通過(guò)品牌官網(wǎng)或官方授權(quán)渠道購(gòu)買(mǎi)硬件錢(qián)包，避免因貪圖便利或便宜而選擇非正規(guī)平臺(tái)。尤其是二手設(shè)備或來(lái)路不明的新品，可能早已被篡改、初始化。

?02?

使用過(guò)程中的攻擊點(diǎn)

簽名授權(quán)中的釣魚(yú)陷阱

硬件錢(qián)包雖然能隔離私鑰，卻無(wú)法杜絕“盲簽”帶來(lái)的釣魚(yú)攻擊。所謂盲簽，就像在一張空白支票上簽字 —— 用戶在未明確知曉交易內(nèi)容的情況下，便對(duì)一串難以辨認(rèn)的簽名請(qǐng)求或哈希數(shù)據(jù)進(jìn)行了確認(rèn)。這意味著，哪怕是在硬件錢(qián)包的保護(hù)下，用戶仍可能在毫無(wú)察覺(jué)的情況下，授權(quán)了一筆向陌生地址的轉(zhuǎn)賬，或執(zhí)行了帶有惡意邏輯的智能合約。

盲簽攻擊常通過(guò)偽裝巧妙的釣魚(yú)頁(yè)面誘導(dǎo)用戶簽名，過(guò)去幾年中，黑客通過(guò)這類(lèi)方式盜走了大量用戶資產(chǎn)。隨著 DeFi、NFT 等智能合約場(chǎng)景不斷擴(kuò)展，簽名操作愈發(fā)復(fù)雜。應(yīng)對(duì)之道，是選擇支持“所見(jiàn)即所簽”的硬件錢(qián)包，確保每筆交易信息都能在設(shè)備屏幕上清晰顯示并逐項(xiàng)確認(rèn)。

https://www.ledger.com/zh-hans/academy/%E4%B8%BB%E9%A2%98/ledgersolutions-zh-hans/10-years-of-ledger-secure-self-custody-for-all

來(lái)自“官方”的釣魚(yú)

攻擊者還善于借勢(shì)行騙，尤其是打著“官方”的旗號(hào)。比如 2022 年 4 月，Trezor 這款知名硬件錢(qián)包的部分用戶，收到了來(lái)自 trezor[.]us 域名的釣魚(yú)郵件，實(shí)際上 Trezor 官方域名是 trezor[.]io，另外釣魚(yú)郵件里傳播了如下域名：suite[.]tr?zor[.]com。

這個(gè)“?”看起來(lái)像個(gè)正常的英文字母，實(shí)際上這是 Punycode。tr?zor 的真身實(shí)際長(zhǎng)這樣：xn—trzor-o51b。

攻擊者還會(huì)借助真實(shí)的安全事件做文章，提升欺騙成功率。2020 年，Ledger 發(fā)生了一起數(shù)據(jù)泄露事件，約有 100 萬(wàn)個(gè)用戶的電子郵件地址泄露，且其中有一個(gè)包含 9,500 名客戶的子集，涉及姓名、郵寄地址、電話號(hào)碼以及購(gòu)買(mǎi)產(chǎn)品信息。攻擊者掌握了這些信息后，假冒 Ledger 的安全與合規(guī)部門(mén)，向用戶發(fā)送釣魚(yú)郵件，信中聲稱(chēng)錢(qián)包需要升級(jí)或進(jìn)行安全驗(yàn)證。郵件中會(huì)誘導(dǎo)用戶掃描二維碼，跳轉(zhuǎn)到釣魚(yú)網(wǎng)站。

(https://x.com/mikebelshe/status/1925953356519842245)

(https://www.reddit.com/r/ledgerwallet/comments/1l50yjy/new_scam_targeting_ledger_users/)

此外，還有部分用戶收到了快遞包裹，包裹里的設(shè)備外包裝甚至使用了收縮膜封裝。包裹中包含一臺(tái)偽造的 Ledger Nano X 錢(qián)包，以及帶有官方信頭的偽造信件，信中聲稱(chēng)這是為了響應(yīng)之前的數(shù)據(jù)泄露事件，為用戶更換“更安全的新設(shè)備”。

(https://www.reddit.com/r/ledgerwallet/comments/o154gz/package_from_ledger_is_this_legit/)

實(shí)際上，這些“新設(shè)備”是被篡改過(guò)的 Ledger，內(nèi)部電路板上額外焊接了一個(gè) U 盤(pán)，用于植入惡意程序。偽造的說(shuō)明書(shū)會(huì)引導(dǎo)用戶將設(shè)備連接電腦，運(yùn)行自動(dòng)彈出的應(yīng)用程序，并按照提示輸入原錢(qián)包的 24 個(gè)助記詞進(jìn)行“遷移”或“恢復(fù)”。一旦輸入助記詞，數(shù)據(jù)便會(huì)被發(fā)送給攻擊者，資金隨即被盜。

中間人攻擊

想象你給朋友寄信，一個(gè)使壞的郵差在路上攔截，將信件內(nèi)容悄悄篡改后再封回去。朋友收到信時(shí)毫不知情，以為那是你的原話。這就是中間人攻擊的本質(zhì)。硬件錢(qián)包雖能將私鑰隔離，但完成交易時(shí)仍需通過(guò)手機(jī)或電腦上的錢(qián)包應(yīng)用，以及 USB、藍(lán)牙、二維碼等“傳話管道”。這些傳輸鏈路就像“看不見(jiàn)的郵差”，一旦其中任何環(huán)節(jié)被控制，攻擊者就能悄無(wú)聲息地篡改收款地址或偽造簽名信息。

OneKey 團(tuán)隊(duì)曾向 Trezor 和 MetaMask 報(bào)告了一個(gè)中間人攻擊漏洞：當(dāng) MetaMask 連接 Trezor 設(shè)備時(shí)，會(huì)立刻讀取設(shè)備內(nèi)部的 ETH 公鑰，并在軟件端基于不同的派生路徑計(jì)算地址。此過(guò)程缺乏任何硬件確認(rèn)或提示，給中間人攻擊留下了可乘之機(jī)。

如果本地惡意軟件控制了 Trezor Bridge，就相當(dāng)于通信鏈路出現(xiàn)了一個(gè)“壞郵差”，攻擊者可以攔截并篡改所有與硬件錢(qián)包的通信數(shù)據(jù)，導(dǎo)致軟件界面顯示的信息與硬件實(shí)際情況不符。一旦軟件驗(yàn)證流程存在漏洞或用戶未仔細(xì)確認(rèn)硬件信息，中間人攻擊便可能成功。

https://zhangzhao.name/

?03?

存放與備份

https://x.com/montyreport/status/1877102173357580680

最后，存放與備份同樣重要。切勿將助記詞存儲(chǔ)或傳輸于任何聯(lián)網(wǎng)設(shè)備和平臺(tái)，包括備忘錄、相冊(cè)、收藏夾、傳輸助手、郵箱、云筆記等。此外，資產(chǎn)安全不僅要防范黑客攻擊，還需防范意外災(zāi)害。雖然紙質(zhì)備份相對(duì)安全，但如果保管不當(dāng)，可能面臨火災(zāi)或水浸等風(fēng)險(xiǎn)，導(dǎo)致資產(chǎn)難以恢復(fù)。

因此，建議將助記詞手寫(xiě)在實(shí)體紙上，分散存放于多個(gè)安全地點(diǎn)。對(duì)于高價(jià)值資產(chǎn)，可考慮使用防火防水的金屬板。同時(shí)，定期檢查助記詞的存放環(huán)境，確保其安全且可用。

?04?

小結(jié)

硬件錢(qián)包作為資產(chǎn)保護(hù)的重要工具，其安全性還受限于用戶的使用方式。許多騙局并非直接攻破設(shè)備，而是披著“幫你更安全”的外衣，引誘用戶主動(dòng)交出資產(chǎn)控制權(quán)。針對(duì)本文提及的多種風(fēng)險(xiǎn)場(chǎng)景，我們總結(jié)了以下建議：