加密货币诈骗手法再度升级，近期多名包括Trezor、Ledger 等硬件钱包用户通报收到伪装成官方通知的实体信件，信中要求扫描QR Code 进行强制验证，实则诱骗用户输入助记词，借此盗取资产。此类攻击并非首次出现，再度凸显个资外流与社交工程诈骗的长期风险。

实体信件伪装官方通知，要求限期「身份验证」

网络资安团队Dmitry Smilyanets指出，多名用户收到署名来自Trezor 或Ledger 的纸本信件，内容声称需在特定期限内完成「身分验证检查(Authentication Check)」或「交易检查(Transaction Check)」，否则装置可能遭到限制。

据报，信件外观制作精细，包含伪造签名、品牌标志及防伪贴纸，并附上验证QR Code。部分案例中，信件甚至冒用了Trezor 的执行长Matěj Žák 名义签名。

扫描QR Code 后导向假网站，诱导输入助记词

Dmitry Smilyanets 回报，信件中的QR Code 会将收件人导向外观仿造官方设定页面的恶意网站，要求输入钱包助记词以完成所谓的「安全验证」。一旦助记词被输入，资料便会透过后端API 传送至攻击者手中，使其得以在其他装置汇入钱包并转移资产。

Trezor、Ledger 官方一再强调，官方从未、也不会透过网站、电子邮件或实体信件要求用户提供助记词。助记词一旦外泄，就等同于将钱包控制权交出。

攻击源头：Ledger 过往个资外泄成锁定名单

这种实体信件诈骗之所以能精准寄达，与过去数年的资料外泄事件有关。 Ledger 曾于2020 年因电商合作伙伴Shopify资安事件，导致数十万名客户姓名与实体地址曝光；2023 年Ledger Connect Kit 也发生过供应链攻击。 2024 年初，Trezor 也通报有66,000 名用户联络资料不慎遭到外流。

就在上个月，Ledger 才刚因第三方支付服务商Global-e遭骇，导致用户姓名与联络方式外泄，虽官方坚称未涉及私钥与支付资讯，但仍可能成为钓鱼攻击的材料。即便钱包装置本体安全无虞，用户个资一旦外流，仍可能遭到反复利用。

诈骗手法演进：从电子邮件走向实体社交工程

观察近年攻击趋势，钓鱼手法正从电子邮件、假冒客服讯息，进一步延伸至伪造App、甚至寄送假硬体装置与实体信件。实体邮件能降低用户戒心，特别是在信件设计高度拟真情况下，更容易混淆视听。层出不穷的攻击更反映出加密产业在资料保护与第三方依赖上的风险。

Dmitry Smilyanets 提醒，对用户而言，最重要的防线仍是基本原则：「任何情况下都不要向任何人透露助记词。」在资安事件层出不穷的背景下，如何提升用户警觉与供应链安全，将持续成为产业面临的重要课题。

本文链接地址：https://www.wwsww.cn/qianbao/37140.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。