硬體錢包雖然被認為安全,但仍存在說明書詐騙和改造詐騙。用戶應在官方渠道購買,確保錢包未開啟狀態,以保護資產安全。
(前情提要: 出境中國冷錢包險遭扣押!海關擴大檢查電子設備,保護資產指南)
(背景補充: 柯文哲遭爆冷錢包找到了!檢調苦惱「沒密碼打不開」,專家:沒助記詞一樣能凍結)
硬錢包雖然安全性更高,但在投資者群體普遍缺乏瞭解的情況下,仍然出現大量針對小白使用者的欺詐事件,導致其存放在硬體錢包中的資產丟失。本文將介紹兩種常見的硬體錢包盜幣手法 —— 硬體錢包說明書欺詐與硬體錢包改造偽裝騙局。
硬體錢包說明書欺詐
此類盜幣手法核心是利用普通投資者對硬體錢包使用方法的不瞭解,通過替換虛假說明書,誤導受害人向釣魚地址轉帳。
受害人從第三方電商平臺購入硬體錢包,開啟包裝後,按照「說明書」上標註的「初始 Pin 碼」開啟硬體錢包,在備份了「說明書」上印製的「助記詞」後,向錢包地址存入了大量資金,最終失竊。
欺詐團隊製作的假硬體錢包手冊
其原因並非錢包在硬體層面遭到破解,而是盜幣者通過提前啟用獲取地址助記詞,偽造虛假說明書進行二次封裝,再通過非官方的渠道將已啟用的硬體錢包銷售給受害人,一旦目標物件向地址內轉入加密資產,就將進入標準假錢包盜幣流程。
華語地區的二級市場上也存在類似風險,知名硬體錢包廠商 imkey 曾釋出提醒 —— 發現部分非官方店鋪在售賣 「已啟用」 硬體錢包的同時,篡改使用說明書,誘騙使用者將資金存入被作惡商家提前建立的錢包地址中。可見,識別官方電商店鋪的重要性等同於識別官方網址。
硬體錢包裝置遭改造
一位 Ledger 使用者在未曾下單的情況下收到一個包裹,內含有一個全新的 Ledger X 硬體錢包和一封附帶的信件。信件表示,由於 Ledger 公司遭受網路攻擊導致使用者資料洩露,特此向受影響的客戶傳送了新的硬體錢包裝置,並在信件中要求使用者更換裝置以保證安全。
圖源:Reddit ledgerwallet 頻道
然而,這封信的真實性存疑,Ledger 公司 CEO Pascal Gauthier 明確表示,對於個人資料的意外洩露,公司不會做出任何賠償。該使用者也表示這是一個騙局,他分享了更多的圖片,並開啟裝置展示了硬體錢包塑膠盒內部,明顯有被篡改的痕跡。
右為遭改造裝置
此外,卡巴斯基安全團隊也曾通報了一起仿冒 Tresor 硬體錢包的案例,受害人在非官方渠道購買了一臺 Trezor Model T ,但該裝置已經被攻擊者更換內部韌體,將能夠獲得對使用者加密資產的訪問許可權,進而採取盜幣行為。
寫在最後
通過上述案例不難看出,針對硬體錢包的供應鏈攻擊已經非常廣泛,普通投資者以及硬體錢包廠商應當對此提高警惕。正確的使用方式將能有效規避盜幣風險:
1. 在官方渠道購買硬體裝置
任何硬體錢包在非官方渠道購買的硬體裝置都不是安全的。
2. 確保錢包處於未啟用狀態
官方出售的硬體裝置一定處於未啟用狀態,如果投資者開機後發現機器已被啟用,甚至說明書提示有「初始密碼」或「預設地址」,請及時停用裝置,並向硬體錢包官方回饋。
3. 確保地址由本人生成
除裝置啟用環節外,設定 PIN 碼、生成繫結碼、建立地址並備份也需要由本人完成,任何環節由第三方操作都將為使用者帶來資金風險。正常情況下,硬體錢包裝置應為未啟用狀態,即首次使用硬體錢包時,啟用裝置、建立錢包、備份助記詞和設定 PIN 碼均應由使用者自行完成。
如果有任何硬體錢包使用者因此類社會工程攻擊遭到損失,請及時聯絡 Bitrace,我們將協助你通過法律手段挽回資產。
更多反欺詐知識歡迎下載 Bitrace 出品的《2024 Web3 反欺詐手冊》,下載連結:https://bitrace.io/zh/blog
📍相關報導📍
本土加密教育創辦人「遭告詐欺」!自救會集體提告:學費總超3百萬、允諾能當分析師