返回博客
anquanshejiao-gongchengbitcointrezordiaocha
2.82亿美元 Bitcoin 被盗:加密货币史上最大的社会工程学盗窃案
一名用户在骗子冒充 Trezor 客服后,损失了2.82亿美元的 Bitcoin 和 Litecoin。这就是为什么人工验证比硬件更重要。
Miguel Treviño•
摘要:
- 事件: 一名受害者因接到冒充 Trezor 客服的电话社会工程学攻击,损失了2.82亿美元的 BTC 和 LTC。
- 漏洞: 攻击针对的是"可分享的秘密"(助记词),而非代码漏洞或硬件故障。
- 教训: 传统安全过度依赖人类管理24个单词的助记词,而这些助记词极易被钓鱼。
- 解决方案: Zelf 的 ZK Face Proof 完全消除了对助记词的需求——你无法泄露你没有的东西。
2026年1月10日,有人在一次攻击中损失了2.82亿美元。
不是通过智能合约漏洞。不是通过零日漏洞。不是通过交易所被入侵。
而是通过一个电话。
攻击过程
据区块链调查员 ZachXBT 追踪,这次攻击简单得令人发指:
- 布局:骗子冒充 Trezor 硬件钱包客服
- 社会工程学:他们说服受害者分享助记词
- 盗窃:1,459 BTC(约1.39亿美元)和200万+ LTC(约1.53亿美元)被瞬间转走
没有复杂的黑客技术。没有代码漏洞。只有人为操控。
资金追踪
几小时内,攻击者开始通过以下途径洗钱:
- THORChain:在无 KYC 的情况下将 BTC 兑换为 ETH、XRP 和其他资产
- Tornado Cash:混合资金以掩盖踪迹
- 多个中心化交易所:KuCoin、WhiteBit、Huobi、ChangeNOW
- Monero:用于无法追踪的最终转换
安全公司 ZeroShadow 在20分钟内成功冻结了约70万美元——但绝大部分资金已经流失。
硬件钱包的残酷真相
像 Trezor 和 Ledger 这样的硬件钱包被宣传为存储加密货币"最安全"的方式。从技术上讲确实如此——前提是正确使用。
但市场宣传不会告诉你的是:
硬件钱包的安全性取决于操作它的人。
设备本身从未被入侵。固件正常。密码学没有问题。薄弱环节是人。
这不是 Trezor 的问题。这是人的问题。它适用于每个钱包、每个设备、每个安全系统。
为什么助记词是设计缺陷
坦白说:期望人类:
- 写下24个随机单词
- 永远安全地保存它们
- 永远不要与任何人分享
- 多年后还记得它们在哪里
……注定要失败。
助记词是为密码学安全设计的,而非为人类可用性设计的。当安全性与可用性发生冲突时,可用性总会胜出——通常是灾难性的。
Zelf 的方法:无秘密认证
在 Zelf,我们围绕一个基本原则构建认证:
你无法泄露你没有的东西。
ZK Face Proof 的工作方式不同:
- 没有可分享的助记词:你的面部就是认证方式
- 没有可提取的秘密:证明是零知识的——不传输任何敏感信息
- 无需客服电话:骗子无法"帮助"你,因为没有什么可帮的
社会工程学攻击针对的是可分享的秘密。消除秘密,就消除了攻击向量。
什么能拯救这2.82亿美元?
如果受害者使用的是基于 ZK 的认证系统:
- 就不会有助记词可分享
- 骗子无法冒充"客服",因为没有秘密可恢复
- 认证是生物识别且不可转让的
攻击者的整套策略将变得毫无用处。
经验教训
- 永远不要分享你的助记词:没有合法的客服会要求你提供
- 警惕"客服"电话:真正的公司不会主动打电话给你
- 质疑可分享的秘密:任何依赖于你可以告诉别人的信息的认证方式都是脆弱的
- 考虑人为因素:最好的安全是你无法意外绕过的安全
认证的未来
这起2.82亿美元的盗窃案不是偶然事件——它是在设计认证系统时未考虑人类心理的必然结果。
Zelf 代表下一代认证:既具有密码学安全性,又具有社会工程学不可攻破性。
你的面部无法被钓鱼。你的生物识别证明无法通过电话分享。你的身份无法被冒充。