开放手游网 > 资讯 > 区块链 > 加密货币冷钱包诈骗升级!Trezor、Ledger多名用户收到含钓鱼QR Code的实体信件

加密货币冷钱包诈骗升级!Trezor、Ledger多名用户收到含钓鱼QR Code的实体信件

  • 作者:佚名
  • 来源:开放手游网
  • 时间:2026-02-17



加密货币冷钱包诈骗升级!Trezor、Ledger多名用户收到含钓鱼QR Code的实体信件




  加密货币诈骗手法再度升级,近期多名包括Trezor、Ledger等硬件钱包用户通报收到伪装成官方通知的实体信件,信中要求扫描QR Code进行强制验证,实则诱骗用户输入助记词,借此盗取资产。此类攻击并非首次出现,再度凸显个资外流与社交工程诈骗的长期风险。


实体信件伪装官方通知,要求限期「身份验证」

  网络资安团队Dmitry Smilyanets指出,多名用户收到署名来自Trezor或Ledger的纸本信件,内容声称需在特定期限内完成「身份验证检查(Authentication Check)」或「交易检查(Transaction Check)」,否则装置可能遭到限制。


  据报,信件外观制作精细,包含伪造签名、品牌标志及防伪贴纸,并附上验证QR Code。部分案例中,信件甚至冒用了Trezor的执行长Matěj Žák名义签名。


扫描QR Code后导向假网站,诱导输入助记词

  Dmitry Smilyanets回报,信件中的QR Code会将收件人导向外观仿造官方设定页面的恶意网站,要求输入钱包助记词以完成所谓的「安全验证」。一旦助记词被输入,资料便会透过后端API传送至攻击者手中,使其得以在其他装置汇入钱包并转移资产。


  Trezor、Ledger官方一再强调,官方从未、也不会透过网站、电子邮件或实体信件要求用户提供助记词。助记词一旦外泄,就等同于将钱包控制权交出。


攻击源头:Ledger过往个资外泄成锁定名单

  这种实体信件诈骗之所以能精准寄达,与过去数年的资料外泄事件有关。Ledger曾于2020年因电商合作伙伴Shopify资安事件,导致数十万名客户姓名与实体地址曝光;2023年Ledger Connect Kit也发生过供应链攻击。2024年初,Trezor也通报有66,000名用户联络资料不慎遭到外流。


  就在上个月,Ledger才刚因第三方支付服务商Global-e被黑,导致用户姓名与联络方式外泄,虽官方坚称未涉及私钥与支付信息,但仍可能成为钓鱼攻击的材料。即便钱包装置本体安全无虞,用户个资一旦外流,仍可能遭到反复利用。


诈骗手法演进:从电子邮件走向实体社交工程

  观察近年攻击趋势,钓鱼手法正从电子邮件、假冒客服讯息,进一步延伸至伪造App、甚至寄送假硬件装置与实体信件。实体邮件能降低用户戒心,特别是在信件设计高度拟真情况下,更容易混淆视听。层出不穷的攻击更反映出加密产业在资料保护与第三方依赖上的风险。


  Dmitry Smilyanets提醒,对用户而言,最重要的防线仍是基本原则:「任何情况下都不要向任何人透露助记词。」在资安事件层出不穷的背景下,如何提升用户警觉与供应链安全,将持续成为产业面临的重要课题。