2.82亿美元 Bitcoin 被盗：加密货币史上最大的社会工程学盗窃案

摘要：

事件： 一名受害者因接到冒充 Trezor 客服的电话社会工程学攻击，损失了2.82亿美元的 BTC 和 LTC。
漏洞： 攻击针对的是"可分享的秘密"（助记词），而非代码漏洞或硬件故障。
教训： 传统安全过度依赖人类管理24个单词的助记词，而这些助记词极易被钓鱼。
解决方案： Zelf 的 ZK Face Proof 完全消除了对助记词的需求——你无法泄露你没有的东西。

2026年1月10日，有人在一次攻击中损失了2.82亿美元。

不是通过智能合约漏洞。不是通过零日漏洞。不是通过交易所被入侵。

而是通过一个电话。

攻击过程

据区块链调查员 ZachXBT 追踪，这次攻击简单得令人发指：

布局：骗子冒充 Trezor 硬件钱包客服
社会工程学：他们说服受害者分享助记词
盗窃：1,459 BTC（约1.39亿美元）和200万+ LTC（约1.53亿美元）被瞬间转走

没有复杂的黑客技术。没有代码漏洞。只有人为操控。

资金追踪

几小时内，攻击者开始通过以下途径洗钱：

THORChain：在无 KYC 的情况下将 BTC 兑换为 ETH、XRP 和其他资产
Tornado Cash：混合资金以掩盖踪迹
多个中心化交易所：KuCoin、WhiteBit、Huobi、ChangeNOW
Monero：用于无法追踪的最终转换

安全公司 ZeroShadow 在20分钟内成功冻结了约70万美元——但绝大部分资金已经流失。

硬件钱包的残酷真相

像 Trezor 和 Ledger 这样的硬件钱包被宣传为存储加密货币"最安全"的方式。从技术上讲确实如此——前提是正确使用。

但市场宣传不会告诉你的是：

硬件钱包的安全性取决于操作它的人。

设备本身从未被入侵。固件正常。密码学没有问题。薄弱环节是人。

这不是 Trezor 的问题。这是人的问题。它适用于每个钱包、每个设备、每个安全系统。

为什么助记词是设计缺陷

坦白说：期望人类：

写下24个随机单词
永远安全地保存它们
永远不要与任何人分享
多年后还记得它们在哪里

……注定要失败。

助记词是为密码学安全设计的，而非为人类可用性设计的。当安全性与可用性发生冲突时，可用性总会胜出——通常是灾难性的。

Zelf 的方法：无秘密认证

在 Zelf，我们围绕一个基本原则构建认证：

你无法泄露你没有的东西。

ZK Face Proof 的工作方式不同：

没有可分享的助记词：你的面部就是认证方式
没有可提取的秘密：证明是零知识的——不传输任何敏感信息
无需客服电话：骗子无法"帮助"你，因为没有什么可帮的

社会工程学攻击针对的是可分享的秘密。消除秘密，就消除了攻击向量。

什么能拯救这2.82亿美元？

如果受害者使用的是基于 ZK 的认证系统：

就不会有助记词可分享
骗子无法冒充"客服"，因为没有秘密可恢复
认证是生物识别且不可转让的

攻击者的整套策略将变得毫无用处。

经验教训

永远不要分享你的助记词：没有合法的客服会要求你提供
警惕"客服"电话：真正的公司不会主动打电话给你
质疑可分享的秘密：任何依赖于你可以告诉别人的信息的认证方式都是脆弱的
考虑人为因素：最好的安全是你无法意外绕过的安全

认证的未来

这起2.82亿美元的盗窃案不是偶然事件——它是在设计认证系统时未考虑人类心理的必然结果。

Zelf 代表下一代认证：既具有密码学安全性，又具有社会工程学不可攻破性。

你的面部无法被钓鱼。你的生物识别证明无法通过电话分享。你的身份无法被冒充。

体验 ZK Face Proof | 工作原理

摘要：

事件： 一名受害者因接到冒充 Trezor 客服的电话社会工程学攻击，损失了2.82亿美元的 BTC 和 LTC。
漏洞： 攻击针对的是"可分享的秘密"（助记词），而非代码漏洞或硬件故障。
教训： 传统安全过度依赖人类管理24个单词的助记词，而这些助记词极易被钓鱼。
解决方案： Zelf 的 ZK Face Proof 完全消除了对助记词的需求——你无法泄露你没有的东西。

2026年1月10日，有人在一次攻击中损失了2.82亿美元。

不是通过智能合约漏洞。不是通过零日漏洞。不是通过交易所被入侵。

而是通过一个电话。

攻击过程

据区块链调查员 ZachXBT 追踪，这次攻击简单得令人发指：

布局：骗子冒充 Trezor 硬件钱包客服
社会工程学：他们说服受害者分享助记词
盗窃：1,459 BTC（约1.39亿美元）和200万+ LTC（约1.53亿美元）被瞬间转走

没有复杂的黑客技术。没有代码漏洞。只有人为操控。

资金追踪

几小时内，攻击者开始通过以下途径洗钱：

THORChain：在无 KYC 的情况下将 BTC 兑换为 ETH、XRP 和其他资产
Tornado Cash：混合资金以掩盖踪迹
多个中心化交易所：KuCoin、WhiteBit、Huobi、ChangeNOW
Monero：用于无法追踪的最终转换

安全公司 ZeroShadow 在20分钟内成功冻结了约70万美元——但绝大部分资金已经流失。

硬件钱包的残酷真相

像 Trezor 和 Ledger 这样的硬件钱包被宣传为存储加密货币"最安全"的方式。从技术上讲确实如此——前提是正确使用。

但市场宣传不会告诉你的是：

硬件钱包的安全性取决于操作它的人。

设备本身从未被入侵。固件正常。密码学没有问题。薄弱环节是人。

这不是 Trezor 的问题。这是人的问题。它适用于每个钱包、每个设备、每个安全系统。

为什么助记词是设计缺陷

坦白说：期望人类：

写下24个随机单词
永远安全地保存它们
永远不要与任何人分享
多年后还记得它们在哪里

……注定要失败。

助记词是为密码学安全设计的，而非为人类可用性设计的。当安全性与可用性发生冲突时，可用性总会胜出——通常是灾难性的。

Zelf 的方法：无秘密认证

在 Zelf，我们围绕一个基本原则构建认证：

你无法泄露你没有的东西。

ZK Face Proof 的工作方式不同：

没有可分享的助记词：你的面部就是认证方式
没有可提取的秘密：证明是零知识的——不传输任何敏感信息
无需客服电话：骗子无法"帮助"你，因为没有什么可帮的

社会工程学攻击针对的是可分享的秘密。消除秘密，就消除了攻击向量。

什么能拯救这2.82亿美元？

如果受害者使用的是基于 ZK 的认证系统：

就不会有助记词可分享
骗子无法冒充"客服"，因为没有秘密可恢复
认证是生物识别且不可转让的

攻击者的整套策略将变得毫无用处。

经验教训

永远不要分享你的助记词：没有合法的客服会要求你提供
警惕"客服"电话：真正的公司不会主动打电话给你
质疑可分享的秘密：任何依赖于你可以告诉别人的信息的认证方式都是脆弱的
考虑人为因素：最好的安全是你无法意外绕过的安全

认证的未来

这起2.82亿美元的盗窃案不是偶然事件——它是在设计认证系统时未考虑人类心理的必然结果。

Zelf 代表下一代认证：既具有密码学安全性，又具有社会工程学不可攻破性。

你的面部无法被钓鱼。你的生物识别证明无法通过电话分享。你的身份无法被冒充。

体验 ZK Face Proof | 工作原理

Zelf vs Metamask

Zelf vs Trust Wallet

Zelf vs Ledger

Zelf vs Ledger Recover

Zelf Vs Trezor Keep Metal

摘要：

攻击过程

资金追踪

硬件钱包的残酷真相

为什么助记词是设计缺陷

Zelf 的方法：无秘密认证

什么能拯救这2.82亿美元？

经验教训

认证的未来

Zelf vs Metamask

Zelf vs Trust Wallet

Zelf vs Ledger

Zelf vs Ledger Recover

Zelf Vs Trezor Keep Metal

摘要：

攻击过程

资金追踪

硬件钱包的残酷真相

为什么助记词是设计缺陷

Zelf 的方法：无秘密认证

什么能拯救这2.82亿美元？

经验教训

认证的未来