返回部落格
安全社交工程bitcointrezor調查
2.82 億美元 Bitcoin 被盜:加密貨幣史上最大社交工程攻擊
一名用戶在詐騙者冒充 Trezor 客服後,損失了 2.82 億美元的 Bitcoin 和 Litecoin。這就是為什麼人類身份驗證比硬體更重要。
Miguel Treviño•
重點摘要:
- 事件: 一名受害者因一通冒充 Trezor 客服的電話社交工程攻擊,損失了 2.82 億美元的 BTC 和 LTC。
- 漏洞: 攻擊針對的是「可分享的秘密」(助記詞),而非程式碼漏洞或硬體故障。
- 教訓: 傳統安全過度依賴人類管理 24 個單詞的助記詞,這些助記詞極易被釣魚。
- 解決方案: Zelf 的 ZK 人臉證明 完全消除了助記詞的需求——你無法洩露你沒有的東西。
2026 年 1 月 10 日,某人在一次攻擊中損失了 2.82 億美元。
不是透過智能合約漏洞。不是透過零日漏洞。不是透過被入侵的交易所。
而是透過一通 電話。
攻擊過程
根據區塊鏈調查員 ZachXBT 的追蹤,攻擊方式簡單得令人髮指:
- 佈局:詐騙者冒充 Trezor 硬體錢包客服
- 社交工程:他們說服受害者分享助記詞
- 盜竊:1,459 BTC(約 1.39 億美元)和 200 萬以上 LTC(約 1.53 億美元)瞬間被轉走
沒有複雜的駭客技術。沒有程式碼漏洞利用。只有人性的操控。
資金流向
幾小時內,攻擊者開始透過以下方式洗錢:
- THORChain:無需 KYC 將 BTC 換成 ETH、XRP 和其他資產
- Tornado Cash:混幣以模糊追蹤路徑
- 多個中心化交易所:KuCoin、WhiteBit、Huobi、ChangeNOW
- Monero:最終轉換為無法追蹤的貨幣
安全公司 ZeroShadow 在 20 分鐘內成功凍結了約 70 萬美元——但絕大部分資金已經逃脫。
硬體錢包的殘酷真相
像 Trezor 和 Ledger 這樣的硬體錢包被宣傳為儲存加密貨幣「最安全」的方式。從技術上講,確實如此——前提是正確使用。
但行銷文案不會告訴你的是:
硬體錢包的安全性取決於操作它的人。
設備本身未被入侵。韌體沒有問題。密碼學也是安全的。薄弱環節是人。
這不是 Trezor 的問題。這是人性的問題。它適用於每個錢包、每個設備、每個安全系統。
為什麼助記詞是設計缺陷
坦白說:期望人類能夠:
- 寫下 24 個隨機單詞
- 永遠安全地保存它們
- 永遠不與任何人分享
- 多年後記得它們在哪裡
……這是在自找失敗。
助記詞是為密碼學安全而設計的,而非為人類的易用性。當安全性與易用性發生衝突時,易用性往往會贏——而且常常是災難性的。
Zelf 的方法:無秘密的身份驗證
在 Zelf,我們圍繞一個基本原則建立身份驗證:
你無法洩露你沒有的東西。
ZK 人臉證明 的工作方式不同:
- 無需分享助記詞:你的臉就是身份驗證
- 無秘密可提取:證明是零知識的——不傳輸任何敏感資訊
- 無需客服電話:你不會被詐騙者「協助」,因為根本沒有什麼需要協助的
社交工程攻擊針對的是 可分享的秘密。移除秘密,就移除了攻擊向量。
什麼能拯救這 2.82 億美元?
如果受害者使用了基於 ZK 的身份驗證系統:
- 沒有助記詞可以分享
- 詐騙者無法冒充「客服」,因為 沒有秘密需要恢復
- 身份驗證是 生物識別且不可轉移的
攻擊者的整套策略都會變得無用。
經驗教訓
- 永遠不要分享你的助記詞:任何合法的客服都不會要求它
- 對「客服」電話保持警惕:真正的公司不會主動打電話給你
- 質疑可分享的秘密:任何依賴你可以告訴別人的東西的身份驗證都是脆弱的
- 考慮人為因素:最好的安全措施是你無法意外繞過的
身份驗證的未來
2.82 億美元的搶劫不是偶然事件——它是未考慮人類心理學而設計的身份驗證系統的必然結果。
Zelf 代表下一代:既具有密碼學安全性,又具有社交工程抗性的身份驗證。
你的臉無法被釣魚。你的生物識別證明無法透過電話分享。你的身份無法被冒充。