Web3安全指南：盘点硬体冷钱包的常见陷阱

在上一期 Web3 安全入门避坑指南中，我们聊到了剪贴簿安全。近期，一位受害者联络到慢雾安全团队，称其在抖音购买到被篡改的冷钱包，导致约 5,000 万元的加密资产被盗。本期我们聚焦一个大家普遍信赖，但使用中却存在诸多误区的工具 —— 硬体钱包。

(https://x.com/SlowMist_Team/status/1933799086106538101)

硬体钱包因私钥离线储存，一直被视为保护加密资产的可靠工具。然而，随著加密资产价值不断攀升，针对硬体钱包的攻击手段也不断升级：从假冒硬体钱包、伪韧体更新 / 验证、钓鱼网站，到精心设计的社会工程陷阱，许多使用者在不经意间落入陷阱，最终资产被洗劫一空。看似安全的装置，实则暗藏后门；看似官方的邮件，实则来自攻击者之手。

本文将围绕硬体钱包的购买、使用和存放三大环节，梳理常见风险，结合真实案例解析典型骗局，并给出实用防护建议，帮助使用者有效保护加密资产安全。

购买环节的风险

购买方面主要有两类骗局：

假钱包：装置外观正常，实则韧体已被篡改，一旦使用，私钥可能悄无声息地泄露；
真钱包 + 恶意引导：攻击者利用使用者缺乏安全知识，通过非官方渠道出售 「已被初始化」 的装置，或者诱导使用者下载伪造的配套应用，再通过钓鱼或社工手段完成收割。

我们来看一个典型案例：

某使用者从电商平台购买了一款硬体钱包，开启包装后发现说明书居然长得像刮刮卡。攻击者通过提前启用装置、获取助记词后，再将硬体钱包重新封装，并配上伪造说明书，通过非官方渠道出售。一旦使用者按照说明扫码启用并将资产转入钱包地址，资金便立即被转走，落入假钱包标准盗币流程。

这类骗局针对首次接触硬体钱包的使用者。由于缺乏相关背景知识，使用者并未意识到 「出厂预设助记词」 本身就是严重的安全异常。

(https://www.reddit.com/r/ledgerwallet/comments/w0jrcg/is_this_a_legit_productbought_from_amazon_came/)

除了这类 「启用 + 重封装」 的套路，还有一种更隐蔽、更高阶的攻击方式：韧体层面的篡改。

装置内的韧体，在外观完全正常的情况下被植入后门。对使用者而言，这类攻击几乎无法察觉，毕竟韧体校验、拆机验证成本不低，也并非是每个人都具备的技能。

一旦使用者将资产存入此类装置，隐藏的后门便悄然触发：攻击者可远端提取私钥、签署交易，将资产转移至自己的地址。整个过程悄无声息，等使用者察觉时，往往为时已晚。

(https://x.com/kaspersky/status/1658087396481613824)

因此，使用者务必通过品牌官网或官方授权渠道购买硬体钱包，避免因贪图便利或便宜而选择非正规平台。尤其是二手装置或来路不明的新品，可能早已被篡改、初始化。

使用过程中的攻击点

签名授权中的钓鱼陷阱

硬体钱包虽然能隔离私钥，却无法杜绝 「盲签」 带来的钓鱼攻击。所谓盲签，就像在一张空白支票上签字 —— 使用者在未明确知晓交易内容的情况下，便对一串难以辨认的签名请求或hash资料进行了确认。这意味著，哪怕是在硬体钱包的保护下，使用者仍可能在毫无察觉的情况下，授权了一笔向陌生地址的转帐，或执行了带有恶意逻辑的智慧合约。

盲签攻击常通过伪装巧妙的钓鱼页面诱导使用者签名，过去几年中，骇客通过这类方式盗走了大量使用者资产。随著 DeFi、NFT 等智慧合约场景不断扩展套件，签名操作愈发复杂。应对之道，是选择支援 「所见即所签」 的硬体钱包，确保每笔交易资讯都能在装置萤幕上清晰显示并逐项确认。

(https://www.ledger.com/zh-hans/academy/%E4%B8%BB%E9%A2%98/ledgersolutions-zh-hans/10-years-of-ledger-secure-self-custody-for-all)
来自 「官方」 的钓鱼

攻击者还善于借势行骗，尤其是打著 「官方」 的旗号。比如 2022 年 4 月，Trezor 这款知名硬体钱包的部分使用者，收到了来自 trezor [.] us 域名的钓鱼邮件，实际上 Trezor 官方域名是 trezor [.] io，另外钓鱼邮件里传播了如下域名：suite [.] trẹzor [.] com。

这个 「ẹ」 看起来像个正常的英文字母，实际上这是 Punycode。trẹzor 的真身实际长这样：xn--trzor-o51b。

攻击者还会借助真实的安全事件做文章，提升欺骗成功率。2020 年，Ledger 发生了一起资料泄露事件，约有 100 万个使用者的电子邮件地址泄露，且其中有一个包含 9,500 名客户的子集，涉及姓名、邮寄地址、电话号码以及购买产品资讯。攻击者掌握了这些资讯后，假冒 Ledger 的安全与合规部门，向用户传送钓鱼邮件，信中声称钱包需要升级或进行安全验证。邮件中会诱导使用者扫描二维码，跳转到钓鱼网站。

(https://x.com/mikebelshe/status/1925953356519842245)

(https://www.reddit.com/r/ledgerwallet/comments/1l50yjy/new_scam_targeting_ledger_users/)

此外，还有部分使用者收到了快递包裹，包裹里的装置外包装甚至使用了收缩膜封装。包裹中包含一台伪造的 Ledger Nano X 钱包，以及带有官方信头的伪造信件，信中声称这是为了响应之前的资料泄露事件，为使用者更换 「更安全的新装置」。

(https://www.reddit.com/r/ledgerwallet/comments/o154gz/package_from_ledger_is_this_legit/)

实际上，这些 「新装置」 是被篡改过的 Ledger，内部电路板上额外焊接了一个 U 盘，用于植入恶意程式。伪造的说明书会引导使用者将装置连线电脑，执行自动弹出的应用程式，并按照提示输入原钱包的 24 个助记词进行 「迁移」 或 「恢复」。一旦输入助记词，资料便会被发送给攻击者，资金随即被盗。

中间人攻击

想像你给朋友寄信，一个使坏的邮差在路上拦截，将信件内容悄悄篡改后再封回去。朋友收到信时毫不知情，以为那是你的原话。这就是中间人攻击的本质。硬体钱包虽能将私钥隔离，但完成交易时仍需通过手机或电脑上的钱包应用，以及 USB、蓝芽、二维码等 「传话管道」。这些传输链路就像 「看不见的邮差」，一旦其中任何环节被控制，攻击者就能悄无声息地篡改收款地址或伪造签名资讯。

OneKey 团队曾向 Trezor 和 MetaMask 报告了一个中间人攻击漏洞：当 MetaMask 连线 Trezor 装置时，会立刻读取装置内部的 ETH 公钥，并在软体端基于不同的派生路径计算地址。此过程缺乏任何硬体确认或提示，给中间人攻击留下了可乘之机。

如果本地恶意软体控制了 Trezor Bridge，就相当于通讯链路出现了一个 「坏邮差」，攻击者可以拦截并篡改所有与硬体钱包的通讯资料，导致软体介面显示的资讯与硬体实际情况不符。一旦软体验证流程存在漏洞或使用者未仔细确认硬体资讯，中间人攻击便可能成功。

(https://zhangzhao.name/)

存放与备份

(https://x.com/montyreport/status/1877102173357580680)

最后，存放与备份同样重要。切勿将助记词储存或传输于任何联网装置和平台，包括备忘录、相簿、收藏夹、传输助手、邮箱、云笔记等。此外，资产安全不仅要防范骇客攻击，还需防范意外灾害。虽然纸质备份相对安全，但如果保管不当，可能面临火灾或水浸等风险，导致资产难以恢复。

因此，建议将助记词手写在实体纸上，分散存放于多个安全地点。对于高价值资产，可考虑使用防火防水的金属板。同时，定期检查助记词的存放环境，确保其安全且可用。

结语

硬体钱包作为资产保护的重要工具，其安全性还受限于使用者的使用方式。许多骗局并非直接攻破装置，而是披著 「帮你更安全」 的外衣，引诱使用者主动交出资产控制权。针对本文提及的多种风险场景，我们总结了以下建议：

通过官方渠道购买硬体钱包：非官方渠道购买的装置存在被篡改风险。
确保装置处于未启用状态：官方出售的硬体钱包应为全新未启用状态。如果开机后发现装置已被启用，或说明书提示 「初始密码」、「预设地址」 等异常情况，请立即停止使用并回馈给官方。
关键操作应由本人完成：除装置启用环节外，设定 PIN 码、生成系结码、建立地址及备份助记词，均应由使用者亲自完成。任何由第三方代为操作的环节，都存在风险。正常情况下，硬体钱包首次使用时，应至少连续三次全新建立钱包，记录生成的助记词和对应地址，确保每次结果均不重复。