A black device in a green sealed pouch beside a

假硬件钱包信件诈骗:如何通过“迁移陷阱”窃取你的种子短语

By AI News Crypto Editorial Team阅读 9 分钟

假冒硬件钱包信件诈骗通过实体邮件冒充Ledger、Trezor和其他品牌,然后迫使收件人进行“安全更换”或“固件升级”,以提取他们的种子短语。一旦这12、18或24个单词泄露,攻击者可以在其他地方重建钱包,并在通常不可逆转的交易中转移资金。

关键要点

  • 这些诈骗是一个两阶段的“迁移陷阱”:一封实体信件或包裹制造权威,然后一个强制恢复或导入步骤捕获种子短语。攻击者不需要破解硬件钱包的加密。他们只需要种子短语,而合法的钱包公司不需要也不会要求提供。“密封”包装和看似品牌的信件并不是安全信号。来源和独立验证才是。
  • 如果资金在密钥泄露后转移,即使调查人员能够追踪路径,恢复通常也不太可能,因此预防胜于响应。假冒钱包信件诈骗如何运作这一骗局从实体邮件开始,因为它绕过了人们对电子邮件和直接消息使用的心理垃圾邮件过滤器。一封看似品牌的信件,有时配有未经请求的设备,营造出一个已知制造商正在进行官方补救的感觉。这就是为什么这种模式通常被描述为实体钓鱼:交付方式是离线的,但有效载荷仍然是钓鱼工作流程。
  • 该骗局的结构在“假Ledger信件”和“Trezor信件诈骗”变体中是一致的。信件声称发生了泄露、漏洞或紧急安全问题,并将收件人框架为当前暴露。PCMag记录了一个版本,诈骗者寄送假Ledger硬件,并附上声称受害者现有设备不安全的信件。Binance后来描述了一个类似的设置:一个未经请求的包裹,包含一个Ledger设备和一封声称由于Ledger数据泄露而发送的信件,指示用户更换他们的设备。
  • 从那里,信件将受害者引导到迁移步骤。说明通常指向一个URL或QR码钱包诈骗,落在一个相似的网站上或提示下载应用程序。受害者被告知要“验证”、“恢复”或“导入”以保护资金。该步骤是整个目标。如果受害者在任何连接到互联网的设备上输入种子短语,硬件钱包的购买就变成了一个密钥提取事件。

这就是为什么更广泛的加密钱包诈骗类别以及如何避免它们不断回归到一个规则。诈骗在通过独立找到的官方渠道进行验证时崩溃,种子短语永远不会离开受害者自己的离线备份过程。

盗窃背后的机制

硬件钱包是一个签名设备,而不是一个神奇的保险库。它的设计是为了将私钥保留在未连接互联网的计算机上,同时仍允许签署交易。硬件钱包钓鱼邮件所针对的弱点不是设备的加密,而是恢复路径。

恢复路径是种子短语:通常是12、18或24个单词,控制资金。《比特币手册》在这里明确了两个重要点。首先,这些单词作为钱包的密钥。其次,合法的钱包公司不需要这些单词,也不会要求提供。这就是为什么“更换设备”的叙述如此有效。它将对唯一重要的秘密的请求悄悄地融入到听起来像客户支持的工作流程中。

一旦攻击者获得种子短语,其余的就很简单。他们可以在自己的设备或软件钱包上恢复钱包并转移资产。受害者的原始硬件钱包仍然可以在手中,并且在狭义上仍然“安全”,而资金已经消失,因为攻击者正在从克隆的钱包状态中操作。

“密封”包装并不能解决这个问题。Cointelegraph描述了一个案例,其中一名用户信任通过TikTok获得的密封硬件钱包,损失了690万美元。摘录没有详细说明妥协是来自预生成的种子、操纵的设置流程还是重新封装的包裹,但教训很明确:包装并不是来源的加密保证。

当密钥泄露和资金转移时,防御者的选择迅速缩小。Cointelegraph指出SlowMist可以追踪被盗资金,但在冷钱包密钥泄露后几乎没有恢复的希望。这就是这些诈骗所利用的不对称性。现实世界的例子和常见诱饵说服层在各个渠道中显得异常重复。《比特币手册》描述了依赖紧迫性短语的钓鱼活动,如“安全更新”、“资产正在升级”和“可疑活动”,并与品牌冒充相结合。实体信件版本使用相同的剧本,只是以信封的形式交付。

三个记录的例子映射了这一模式:1. 2021年6月20日:PCMag报道诈骗者寄送假Ledger设备,并附上声称收件人现有设备不安全的信件。信件是权威道具,设备是信任放大器。2. 2024年1月24日:《比特币手册》描述了一起与第三方提供商妥协相关的Trezor冒充电子邮件事件,并引用Blockaid报告称受害者的损失超过60万美元。这不是一封信,但它显示了即使来自合法域名,“看似官方”的品牌通讯也可以是多么有效。3. 2025年8月12日:Cointelegraph回顾了690万美元的TikTok“密封钱包”损失,并将TikTok和类似社交平台标记为被妥协的硬件钱包销售和其他诈骗的常见场所。诱饵汇聚在一个行动上:让受害者执行他们没有发起的恢复或导入。这就是为什么QR码如此频繁出现。QR码消除了输入URL的摩擦,并使纸张到手机的交接感觉像是一个正常的入职步骤。

一些流程还试图从种子捕获升级到签名钓鱼,受害者被推动批准一笔交易或消息,从而授予访问或权限。信件诈骗的核心胜利条件仍然是种子短语,但当攻击者无法获得单词时,仍然使用相同的紧迫性和权威技巧来获取签名。如何识别和避免它们防御不是“变得更聪明”。而是消除诈骗的两个优势:时间和渠道。紧迫性是优势,而信件的QR码或链接是陷阱。

一个简单的决策过程可以打破大多数假冒硬件钱包信件诈骗:

1. 立即停止工作流程。不要扫描QR码,不要点击链接,也不要插入未经请求的设备。2. 通过独立渠道进行验证。使用已知的良好书签或手动导航到制造商的官方网站,然后在那里查找安全通知。不要使用信件中打印的联系信息。3. 将任何要求在网站或应用程序中输入种子短语的请求视为敌对。《比特币手册》的规则是最重要的:合法的钱包公司不需要它,也不会要求提供。4. 将“设备更换”与“密钥披露”分开。可以在不输入种子的情况下设置新设备。种子短语唯一应该使用的时间是所有者发起的恢复,使用受信任的软件,而不是其他人发起的“安全升级”。这就是硬件钱包最佳实践不再是通用清单而成为一种姿态的地方。假设传入设备在被证明之前是不可信的,并假设传入指令在验证之前是对抗性的。TikTok案例是来源的清晰警告标签。Cointelegraph将社交媒体平台,包括TikTok,描述为诈骗和被妥协的硬件钱包销售的常见场所。“密封”是一个营销信号,而不是安全证明。

在任何预防对话的结束时,更广泛的框架很重要:钱包诈骗预防习惯。阻止假Ledger信件的相同验证纪律也可以阻止相似域名、恶意应用程序下载和冒充的支持线程。

如果您已经与其中一个互动

损害取决于采取了哪个步骤。打开信件不是失败点。失败点是放弃秘密或在攻击者指示下迁移。

按顺序对情况进行分类:

1. 如果种子短语被输入到任何网站或应用程序中,请将其视为已妥协。《比特币手册》的模型在这里是无情的:谁拥有这12、18或24个单词,谁就控制资金。2. 如果在压力下签署了交易或批准了消息,请假设攻击者试图进行签名钓鱼,并审查授权的内容。这些流程的目标是将恐慌的时刻转变为持久的权限。3. 如果资金已经转移,预计恢复的可能性很低。Cointelegraph的例子指出SlowMist可以追踪被盗资金,但在密钥泄露后几乎没有恢复的希望。

在怀疑暴露后的直接目标是停止进一步的损失,而不是与信件争论。这意味着停止任何进一步的“升级”步骤,通过独立找到的官方渠道进行验证,并将任何新的传入消息视为同一活动的一部分。

不舒服的真相是,响应通常比预防更糟,因为一旦确认,加密转账通常是不可逆的。这就是为什么这些诈骗围绕一个不可逆转的时刻构建:将种子短语从设备上提取并脱离所有者的控制。

观点我看到人们把一个品牌信封当作来自苹果的安全更新。这种反应正是假冒硬件钱包信件诈骗所利用的邮资。信件本身并不是黑客攻击。黑客攻击是强制“迁移”工作流程,将硬件钱包变成提取种子短语的事件。最昂贵的误解是认为包装就是安全边界。Cointelegraph 的 690 万美元 TikTok “密封钱包”损失提醒我们,来源优于收缩包装。放慢时间,自己从书签验证,并保持种子短语在其安全范围内。如果这些词从未输入到网站或应用程序中,诈骗就没有任何东西可偷。

来源

PCMag

币安广场

比特币手册

Cointelegraph

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

常见问题

如果我收到一封信说我的 Ledger 或 Trezor 被泄露,我该怎么办?

默认将其视为敌对并停止工作流程。不要扫描信中打印的任何二维码或使用任何链接或电话号码。通过您自己的书签或手动输入访问制造商的官方网站,并检查是否有匹配的安全通知。

Ledger 或 Trezor 的支持团队会要求您的种子短语吗?

不会。种子短语通常由 12、18 或 24 个单词组成,作为资金的钥匙,合法的钱包公司不需要它,也不会要求它。任何要求您在网站或应用程序中输入种子短语的请求都是一个警告信号。

如果一个密封的硬件钱包看起来没有打开,它安全吗?

不一定。Cointelegraph 描述了一个案例,信任通过 TikTok 获取的密封硬件钱包导致了 690 万美元的损失。包装并不是来源的加密证明,尤其是当设备来自社交媒体或市场时。

二维码钱包诈骗如何与硬件钱包信件相连接?

二维码通常是从实体信件到钓鱼网站或恶意下载的桥梁。它减少了摩擦,使“替换/升级”流程看起来更官方。最终目标通常是让您透露您的种子短语或批准不安全的操作。

如果我在网站上输入了我的种子短语,我能找回我的加密货币吗?

一旦密钥泄露和资金转移,恢复通常是不太可能的。Cointelegraph 指出,SlowMist 在一个案例中能够追踪被盗资金,但在冷钱包密钥泄露后恢复的希望不大。优先事项变为停止进一步的损失,并将种子短语视为已泄露。