硬體錢包說明書詐欺與硬體錢包改造偽裝騙局

作者: Bitrace

硬體錢包是一種專為儲存加密貨幣設計的實體設備,被認為是安全存管加密資產的重要手段。其內建的安全晶片離線儲存私鑰,確保用戶掌握加密貨幣的完全控制權。硬體錢包通常在離線狀態下操作,這進一步減少了被網路駭客攻擊的風險。

然而,在投資者群體普遍缺乏了解的情況下,仍出現大量針對小白用戶的詐欺事件,導致其存放在硬體錢包中的資產損失。本文將介紹兩種常見的硬體錢包盜幣手法-硬體錢包說明書詐欺與硬體錢包改造偽裝騙局。

  硬體錢包說明書欺詐

此類盜幣手法核心是利用普通投資者對硬體錢包使用方法的不了解,透過替換虛假說明書,誤導受害者向釣魚地址轉帳。受害者從第三方電商平台購入硬體錢包,打開包裝後,依照「說明書」標示的「初始 Pin 碼」打開硬體錢包,在備份了「說明書」上印製的「助記詞」後,向錢包地址存入了大量資金,最終失竊。

  詐騙團隊製作的假硬體錢包手冊

原因並非錢包在硬體層面遭到破解,而是盜幣者透過提前啟動取得地址助記詞,偽造虛假說明書進行二次封裝,再透過非官方的管道將已啟用的硬體錢包銷售給受害者,一旦目標物件向地址內轉入加密資產,就將進入標準假錢包盜幣流程。

華語地區的二級市場上也存在類似風險,知名硬體錢包廠商 imkey 曾發布提醒——發現部分非官方店鋪在售賣 “已激活” 硬體錢包的同時,篡改使用說明書,誘騙用戶將資金存入被作惡商家提前創建的錢包位址中。可見,識別官方電商店舖的重要性等同於識別官方網址。

  硬體錢包設備遭改造

一位 Ledger 用戶在未曾下單的情況下收到一個包裹,內含有一個全新的 Ledger X 硬體錢包和一封附帶的信件。信件表示,由於 Ledger 公司遭受網路攻擊導致用戶資料洩露,特此向受影響的客戶發送了新的硬體錢包設備,並在信件中要求用戶更換設備以確保安全。

圖源:Reddit ledgerwallet 頻道

然而,這封信的真實性存疑,Ledger 公司 CEO Pascal Gauthier 明確表示,對於個人資料的意外洩露,公司不會做出任何賠償。該用戶也表示這是一個騙局,他分享了更多的圖片,並打開設備展示了硬體錢包塑膠盒內部,明顯有被竄改的痕跡。

  右為遭改造設備

此外,卡巴斯基安全團隊也曾通報了一起仿冒 Tresor 硬體錢包的案例,受害者在非官方管道購買了一台 Trezor Model T ,但該設備已經被攻擊者更換內部固件,將能夠獲得對用戶加密資產的存取權限,進而採取盜幣行為。

  寫在最後

透過上述案例不難看出,針對硬體錢包的供應鏈攻擊已經非常廣泛,一般投資者以及硬體錢包廠商應對此提高警覺。正確的使用方式將能有效規避盜幣風險:

 1. 在官方管道購買硬體設備

任何硬體錢包在非官方管道購買的硬體設備都不是安全的。

 2. 確保錢包處於未啟動狀態

官方出售的硬體設備一定處於未激活狀態,如果投資者開機後發現機器已被激活,甚至說明書提示有 “初始密碼” 或 “默認地址”,請及時停用設備,並向硬體錢包官方反饋。

 3. 確保地址由本人生成

除裝置啟動環節外,設定 PIN 碼、產生綁定碼、建立位址並備份也需要由本人完成,任何環節由第三方營運都會為使用者帶來資金風險。正常情況下,硬體錢包設備應為未啟動狀態,即首次使用硬體錢包時,啟動設備、建立錢包、備份助記詞及設定 PIN 碼應由使用者自行完成。

如果有任何硬體錢包用戶因此類社會工程攻擊遭到損失,請及時聯絡 Bitrace,我們將協助你透過法律手段挽回資產。

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。