Security ·

5 种助记词骗局及如何保护自己

助记词盗窃是加密货币中最有效的攻击方式。与利用智能合约漏洞或执行 51% 攻击不同,窃取助记词简单、可扩展,并且能让攻击者完全且不可逆地控制受害者的资金。这里描述的五种骗局占据了助记词盗窃事件的绝大多数。理解每一种骗局以及如何防范,对于任何持有加密资产的人来说都不是可选的知识。

每一种骗局都利用了用户认为正在发生的事情与实际发生的事情之间的差距。每种情况下的防御手段都是验证:知道如何确认您使用的工具、访问的网站和互动的人是否是它们所声称的那样。

骗局 1:假助记词生成器

假助记词生成器是设计得看起来像合法 BIP39 工具的网站或应用程序,同时秘密记录它们生成的每个助记词。攻击者要么硬编码一组助记词(这样每个用户都会得到攻击者已经知道的短语),要么将生成的短语传输到远程服务器。

工作原理

攻击者创建一个看起来专业的网站,似乎在生成随机助记词。在最简单的版本中,网站从攻击者已经控制的预计算短语列表中选择。在更复杂的版本中,工具使用 Web Crypto API 生成看起来真实的短语,但同时通过隐藏的网络请求将或最终短语发送到攻击者的服务器。

受害者看到一个看起来有效的 12 或 24 个单词短语,创建钱包并存入资金。攻击者监控相应的地址并将其清空,有时立即执行,有时等到余额达到值得动手的门槛。

如何保护自己

  • 验证工具是客户端的。 加载页面,断开互联网连接,然后生成短语。如果工具在没有连接的情况下无法工作,它需要服务器通信,不应该被信任。详细验证步骤请参阅使用在线助记词生成器安全吗?
  • 检查网络流量。 在生成之前打开浏览器开发者工具的网络选项卡。在生成过程中应该没有任何外发请求。
  • 使用开源工具。 只使用源代码可公开审计的生成器。SafeSeed 的 Bitcoin 助记词生成器Ethereum 助记词生成器是完全开源和客户端的。
  • 交叉验证结果。 生成一个短语并检查它是否在两个或更多独立工具中产生相同的地址。如果一个生成器无论何时何地使用总是产生相同的短语,它就是在使用固定列表。

骗局 2:模仿真实钱包的钓鱼网站

钓鱼网站复制 MetaMask、Phantom 或硬件钱包网络界面等热门钱包的界面,诱骗用户输入他们现有的助记词。攻击者的目标不是生成新短语,而是捕获您已有的短语。

工作原理

攻击者注册一个与合法钱包网站非常相似的域名:metamask-wallet.io 而不是 metamask.io,或 ledger-support.com 而不是 ledger.com。他们克隆真实网站的视觉设计,并显示一个提示,要求用户通过输入助记词来"恢复"或"验证"钱包。

这些钓鱼网站通过以下渠道传播:

  • 针对钱包相关搜索查询出现的 Google 和社交媒体广告
  • Telegram、Discord 和 X(Twitter)上的虚假支持频道
  • 声称您的钱包需要"验证"或"安全更新"的电子邮件
  • 针对"恢复 MetaMask 钱包"等查询进行 SEO 优化的页面

一旦受害者在钓鱼页面上输入助记词,它就会传输到攻击者的服务器。攻击者将短语导入自己的钱包并清空所有资金,通常在几分钟内完成。

如何保护自己

  • 永远不要在任何网站上输入你的助记词。 合法的钱包软件永远不会要求你在浏览器中输入助记词。钱包恢复在钱包应用程序本身内部进行,而不是在网站上。
  • 收藏官方网站。 只通过您自己设置的书签访问钱包界面,永远不要通过搜索结果或消息中的链接。
  • 逐字验证 URL。 钓鱼域名使用字符替换(小写 l1rnm)和额外的单词来欺骗。
  • 使用硬件钱包进行恢复。 如果您需要恢复钱包,请在硬件设备本身或从制造商验证网站下载的官方桌面应用程序中进行。

骗局 3:预生成的钱包卡

这种骗局针对尚不了解私钥工作原理的加密新手。攻击者出售或赠送包含预生成助记词或私钥的实体卡片,通常精美打印和包装。该卡片看起来像合法的纸钱包,配有 QR 码和公共地址。

工作原理

攻击者生成数千个助记词,全部记录下来,并打印在看起来专业的卡片上。这些卡片在市场上出售,在加密会议上赠送,或作为在线订单的"礼物"包含其中。卡片指示收件人将加密资产存入打印的地址。

受害者相信自己拥有一个安全的纸钱包,将资金发送到该地址。攻击者持有相同助记词的副本,在方便时清空资金。

这种骗局的变体涉及在二级市场上出售的"预充值"钱包。卖家声称钱包包含一定数量的加密资产并以折扣价出售。买家收到一个硬件钱包或纸钱包,但卖家保留了助记词的副本,并在交易后清空资金。

如何保护自己

  • 始终自己生成密钥。 永远不要使用别人创建的助记词或私钥。唯一安全的密钥是您自己在您控制的设备上生成的。
  • 理解密钥是秘密。 如果其他人曾经看到过您的助记词,您必须假设他们有副本。没有办法验证某人是否已经删除了他们曾经知道的短语。
  • 离线生成。 使用 SafeSeed 的客户端工具或其他可信的生成器在离线设备上从头创建您自己的密钥。

骗局 4:剪贴板恶意软件

剪贴板恶意软件,也称为"clipper",是一种监控您的剪贴板中加密货币相关数据并悄悄将其替换为攻击者数据的恶意软件。

工作原理

最常见的变种监视剪贴板中的 BitcoinEthereum 地址。当您复制一个地址进行付款时,恶意软件将其替换为攻击者的地址。如果您不验证就粘贴,您的资金将直接发送给攻击者。

更危险的变种针对助记词。如果您复制助记词(例如在钱包设置期间在应用程序之间传输时),clipper 会捕获它并将其传输给攻击者。一些变种用攻击者控制的不同短语替换剪贴板中的助记词,导致您备份了一个被攻击的短语。

Clipper 通常通过以下渠道分发:

  • 盗版软件和破解应用程序
  • 非官方应用商店上的假钱包应用程序
  • 请求剪贴板权限的浏览器扩展
  • 合法加密工具的木马化版本

如何保护自己

  • 永远不要将助记词复制到剪贴板。 用手写下来。如果必须以数字方式传输,请使用不涉及系统剪贴板的方法。
  • 始终验证粘贴的地址。 在确认任何交易之前,将粘贴地址的前几个和最后几个字符与预期地址进行比较。使用地址验证器确认格式正确。
  • 只使用经过验证的软件。 只从官方来源下载钱包应用程序和工具。完全避免盗版软件,尤其是在用于加密货币的设备上。
  • 运行最新的杀毒软件。 虽然不是万无一失,但现代杀毒软件可以检测许多已知的 clipper。
  • 检查剪贴板内容。 复制地址后,将其粘贴到纯文本编辑器中,确认匹配后再在交易中使用。

骗局 5:社会工程攻击

社会工程是最古老的盗窃形式,已适应加密时代。攻击者操纵您自愿透露助记词或执行危害密钥安全的操作。

工作原理

加密领域的社会工程有多种形式:

虚假技术支持。 攻击者冒充钱包提供商、交易所或区块链项目的支持人员。他们通过 Telegram、Discord 或 X 回应用户的公开投诉。他们声称需要您的助记词来"诊断"问题或"验证"身份。没有合法的支持团队会要求您提供助记词。

"被困资金"诱饵。 攻击者在社交媒体、论坛或聊天群组中公开发布一个助记词,声称"意外"分享了它。相关钱包包含可见的资金。当有人导入该短语试图领取资金时,他们发现代币在一个需要 gas 费的网络上。当他们存入 gas 代币时,攻击者控制的扫荡机器人立即清空存入的代币。

投资导师。 骗子通过社交媒体或交友应用建立关系(通常持续数周),最终引导受害者进入一个需要共享钱包访问权限或使用特定(恶意)工具的"特殊投资机会"。

空投领取。 提供免费代币空投的消息要求您将钱包"连接"到恶意 DApp,然后请求转移您资金的权限或要求您输入助记词。

如何保护自己

  • 像对待核弹发射密码一样对待你的助记词。 没有任何合法服务、支持团队、朋友或家人需要你的助记词。永远不需要。无论出于什么原因。
  • 对主动提供的帮助保持怀疑。 如果有人联系你提供加密帮助,特别是在社交媒体或消息平台上,在证明其合法性之前假设这是一个骗局。
  • 通过官方渠道验证身份。 如果您需要钱包提供商或交易所的支持,请导航到他们的官方网站并使用那里列出的支持表单或聊天。
  • 理解"被困资金"把戏。 如果您找到一个公开分享的带有资金的助记词,那就是诱饵。可见的代币无法在不存入其他代币的情况下移动,而这些代币会被立即窃取。
  • 审查智能合约权限。 如果 DApp 请求无限的代币授权或与其声明目的不符的权限,请拒绝交易。

如何验证您使用的任何工具

对上述每种骗局的防御都归结为一项技能:验证。以下是评估任何加密工具的综合方法。

源代码透明度

如果一个工具不是开源的,您就无法验证它做了什么。开源代码不是安全的保证,但闭源工具需要无条件的信任。对于涉及密钥或助记词的任何操作,优先使用开源工具。

客户端运行

对于密钥生成工具,通过在加载页面后断开互联网来验证客户端执行。如果工具可以离线工作,其加密操作在您的浏览器中通过 Web Crypto API 运行。这是 SafeSeed 和其他信誉良好的生成器使用的标准。阅读什么是加密货币中的熵?了解为什么熵源很重要。

网络行为

使用浏览器的开发者工具监控所有网络请求。在敏感操作(密钥生成、助记词显示、交易签名)期间,应该没有任何外发请求。任何请求,即使是分析服务的请求,都是数据泄露的潜在渠道。

域名和证书验证

在网站上输入任何信息之前,验证确切的域名并确保 HTTPS 处于活动状态。为经常访问的加密工具使用书签。将域名与项目的官方社交媒体账户或 GitHub 仓库进行交叉引用。

社区声誉

检查该工具是否已被独立安全研究人员审查。查找审计报告、知名加密论坛中的讨论以及安全相关出版物中的提及。没有外部审查且没有社区存在的工具风险更高。

结果交叉验证

使用助记词生成器时,通过使用不同的可信工具派生相同的地址来验证输出。SafeSeed 的 Bitcoin 地址生成器Ethereum 地址生成器可以作为参考点之一。如果两个独立的工具从相同的助记词产生相同的地址,那么两者都可能正确实现了标准。

加密生态系统的最大优势——自我托管——也是其最大的弱点。没有欺诈部门可以拨打电话,没有退款可以请求,一旦资金被盗就没有恢复流程。理解这五种骗局并建立验证习惯是您在加密安全方面最有价值的投资。有关底层密钥安全概念的进一步阅读,请参阅私钥安全最佳实践助记词与私钥的区别