要点速览
- 加密钱包是通过其周围的人和设备被攻破的,而非通过区块链本身。链条保持完好,而让步的是密钥、设备或用户的注意力。
- 大多数攻破都始于悄无声息。等到受害者看到一笔未授权交易时,攻击者通常已获得访问权限有一段时间了。
- 最明显的警示信号是:一笔你没有发起的转出交易、一项你不记得授予过的授权,以及来自看似几乎眼熟的地址的、意外的小额入账。
- 及早识别被攻破,是「只损失一个钱包」与「损失与之相连的一切」之间的分界。一旦你怀疑有问题,速度比什么都重要。
- 在许多情况下追回是可能的,尤其当盗窃被迅速察觉、且资金在被兑换或经由不配合的交易所转移之前就被追踪时。
- Match Systems 跨链追踪被攻破钱包的事件,与交易所和执法机构合作,并在从个人钱包到八位数金额盗窃的各类案件中追回过被盗资产。
本文内容
- 目标是钱包,而非区块链
- 钱包实际上是如何被攻破的
- 如何识别被攻破的钱包
- 受害者为何往往察觉得太晚
- 怀疑被攻破的那一刻该怎么办
- 常见问题
目标是钱包,而非区块链
「我的钱包被黑了」这句话几乎从不是人们以为的那个意思。它很少涉及有人攻破保护区块链的密码学。在我们调查的几乎每一个案件中,链条都恰如其分地完成了它应做的事。出问题的是它周围的钱包:保存密钥的设备、所有者信任的软件,或攻击者所等待的那一刻注意力松懈。
这一区分很重要,因为它告诉你该往哪里看。钱包是一个密钥管理器。谁掌控私钥,谁就掌控资金,而这把密钥就存放在某个脆弱之处:一个应用、一个浏览器扩展、一个文件、一张截图,或一个人的记忆里。攻击者不攻击数学。他们攻击密钥暴露的地方,而且他们对此已相当在行。
理解这种暴露如何发生,并学会识别它已经发生的迹象,是加密持有者能够培养的最实用的安全技能。
钱包实际上是如何被攻破的
钱包的失守并没有单一的方式。我们所见的案件聚合成少数几种反复出现的模式,而其中大多数根本不触及区块链的防御。
设备上的恶意软件与信息窃取程序
信息窃取程序(infostealer)是钱包盗窃中沉默的主力。一旦进入设备,它就会扫描一切有价值的东西:浏览器保存的密码、会话 cookie、钱包文件,以及任何可能包含助记词的文本文件或截图。多数人低估的正是其规模。据 Kaspersky 的一份报告,2024 至 2025 年间,PC 上的信息窃取程序检测全球增长了 59%,一年之内就有逾百万个银行账户以此方式被攻破。加密钱包数据是这些工具的主要目标,而受害者通常毫不知情该软件正在运行。
投递方式往往是看起来无害的东西。2025 年 3 月,FBI 丹佛分局警告称,免费的在线文件转换工具被用来加载恶意软件,抓取敏感数据,包括加密货币助记词和钱包详情。该工具确实完成了它宣传的工作,文件被转换,而恶意软件则在后台悄然安装,用户则继续做别的事。
假冒钱包应用与恶意扩展
用户搜索一款热门钱包,安装了一个看起来一模一样的东西,然后要么输入现有助记词以「导入」钱包,要么信任了一个攻击者早已掌控的新生成助记词。界面之所以以假乱真,是因为它往往是近乎完美的克隆。唯一不同的,是密钥落入了谁手中。
助记词泄露
这值得单独一提,因为它是最常见的根源,也是最难挽回的。为图方便而拍照的助记词、存入云备份的助记词、输入客服聊天的助记词,或保存在记事本应用中的助记词,都是无需任何人碰你的设备就能被窃取的助记词。一旦外泄,即使尚未有任何转移,钱包也已不再属于你。
恶意授权与签名
这类攻击无需捕获密钥就能攻破钱包。通过在恶意网站上签署一笔看似例行的交易,用户就可能授予某个合约随取随移其代币的长期许可。钱包本身从未在传统意义上被「黑」。它只是做了它被授权去做的事——有时是在签名给出数天之后。
地址投毒
这是心理上最狡猾的一种模式,因为它把受害者自身的谨慎变成了对付他们的武器。攻击者从一个经过精心设计、模仿受害者常用地址(首尾字符相同)的地址发送一笔极小的交易。被投毒的地址落入交易历史,下一次受害者从该历史中复制地址时,复制到的便是攻击者的地址。2024 年 5 月,一名持有人就以此方式损失了约 6,800 万美元的封装比特币,将资金发往一个从自己历史中拉取的相似地址。Match Systems 与交易所 Cryptex 一起对该案展开调查,利用设备指纹和行为证据识别出攻击者并展开谈判。约一周内,资金被返还。技术花招很简单。而追回这笔钱所依靠的筹码则并不简单。
如何识别被攻破的钱包
这是大多数安全指南略过的部分,也是决定结果的部分。知道钱包如何被攻破是有用的。而识别出你的钱包已被攻破,才是让你有机会及时行动的关键。
留意以下信号:
- 一笔你未授权的转出交易。这是最明确无误的。如果有资金离开了你的钱包而并非你发送,那么钱包就是被攻破了,毫无疑问。请在区块链浏览器上核实,而不要只依赖钱包自身的显示——老练的攻击者可以操纵它。
- 一项你不记得授予过的授权。如果你钱包的已连接网站或代币授权列表中,出现了对你不认识的合约的许可,请将其视为一个现行威胁。长期授权是一扇敞开的门,在你签名很久之后仍可能被使用。
- 来自近乎眼熟地址的、意外的小额入账。一笔来自看起来几乎与你信任地址相同的地址的极小转入,正是地址投毒企图的标志。它不是无害的「灰尘」。它是植入你历史中的诱饵。
- 你的设备行为异常。杀毒软件报警、陌生进程、浏览器发生重定向,或安装某样东西后机器变慢,都可能表明有信息窃取程序在运作。单凭这一点并非证据,但与加密持仓结合起来,就足以让你停下来核查。
- 并非你触发的登录提醒或密码重置。关于从陌生设备访问的通知,或你从未发起过的重置请求,往往意味着攻击者已在你的关联账户中一路推进、逼近你的资金。
- 手机突然失去信号。如果你的移动服务毫无缘由地中断并持续中断,请将其视为可能正在进行的 SIM 卡调换,尤其是当你在加密配置的任何环节使用短信认证时。
警示信号一览
| 你注意到的现象 | 通常意味着什么 |
| 你没有发起的转出交易 | 钱包已被攻破;密钥或某项授权落入他人之手 |
| 陌生的代币授权或已连接网站 | 攻击者可随时使用的长期许可 |
| 来自近乎相同地址的极小额入账 | 植入你历史中的地址投毒诱饵 |
| 设备变慢、发生重定向或被杀毒软件标记 | 可能有信息窃取程序在收割密钥和凭据 |
| 意外的登录提醒或密码重置 | 一场正在进行的账户接管 |
| 手机突然失去信号 | 针对短信认证的可能 SIM 卡调换 |
受害者为何往往察觉得太晚
几乎每一位与我们合作的受害者都会说出同一意思的某个版本:他们在损失之前就察觉到有些不对劲,却说服自己不去理会。一笔奇怪的入账、一个略显古怪的提示、一处设备异常。攻破往往在资金转移之前很久就已开始,这正是早期信号如此重要的原因。掌握你助记词的攻击者,可能会等到余额增长。持有某项授权的攻击者,可能会按兵不动,直到一枚高价值代币到账。攻破与盗窃之间的间隔,就是你所拥有的窗口,而多数人却把它花在安慰自己「没事」上。
怀疑被攻破的那一刻该怎么办
继续使用钱包、再次登录,或在惊慌中转移资金的本能,通常只会让情况更糟。正确的步骤是狭窄而具体的。
- 立即停止使用该钱包,并假设密钥已泄露。如果你仍有访问权限、且钱包尚未被清空,只能从一台干净的设备、将剩余资产转移到一个密钥从未接触过被攻破环境的全新钱包。请注意,如果助记词已泄露,攻击者往往会运行脚本即时扫走转入的资金,因此这并非总能做到。
- 固定证据。从区块链浏览器记录下未授权交易的哈希、攻击者的收款地址、金额和时间戳。这是每一次调查的起点。
- 尽快联系专业调查机构。正确的报案策略取决于具体情况:被盗的是哪些资产、资金经由了哪些链和服务、正流向何方。Match Systems 越早看到细节,我们就能越早分析案件并确定最有效的应对,包括应当联系哪些当局和交易所合规团队,以及在资金仍可触及时如何把握冻结请求的时机。如果被盗资产包含 USDT 或 USDC 等稳定币,这就更为重要,因为发行方可应执法机构请求限制特定地址,而这一窗口在资金被兑换后便会关闭。
常见问题
我怎么知道我的加密钱包是否被黑了?
最明确的迹象是一笔你没有发起的转出交易,你可以在区块链浏览器上加以确认。其他信号包括:你不认识的代币授权、来自看起来几乎与你信任地址相同的地址的小额入账、下载某样东西后开始出问题的设备,以及并非你触发的登录或密码重置提醒。其中任何一项,都足以让你在转移任何东西之前先停下来核查。
没有我的助记词,别人能黑我的钱包吗?
能。捕获助记词是一条途径,但并非唯一。恶意授权或签名可让攻击者在从未掌握你密钥的情况下转移特定代币,而你设备上的恶意软件则可以篡改交易或抓取凭据。这正是为什么即使你确信无人知晓你的助记词,钱包仍可能被攻破。
区块链本身会被黑吗?
几乎从不,而且不是个人通常会遇到的那类情况。保护主流区块链的密码学一直稳固。被攻破的是它周围的钱包:设备、软件、密钥或用户。把加密盗窃当作区块链的失败,会让你的防御指向错误的方向。
什么是被投毒的地址,它为何危险?
被投毒的地址,是攻击者精心设计得与你使用的某个地址相像(首尾字符相同)的地址,随后向你发送一笔极小的交易,使其出现在你的历史中。危险在于,你日后从该历史中复制它时若不核对中间的字符,就会把资金径直发给攻击者。请始终核实完整地址,而不仅仅是两端。
我的钱包被清空了。资金还能追回吗?
有时可以;速度是决定性因素。当盗窃被迅速察觉时,资金往往可以被追踪,而就稳定币而言,可在其被兑换或经由不配合的交易所转移之前,应执法机构请求在发行方层面被冻结。Match Systems 跨链追踪被盗资金,并与交易所和执法机构协调以支持追回,但胜算随着每一小时的流逝而下降。
被攻破的钱包是一场赛跑,而攻击者已抢先起跑。
一旦被盗资金被兑换、跨链或通过 OTC 渠道提走,追回就会变得困难得多。Match Systems 调查被攻破钱包事件和加密盗窃,跨链追踪被盗资产,并与交易所和执法机构合作以支持法律追回,依托一个专有的地址标注数据库,以及多年主动调查中建立起来的直接合规关系。
开始案件评估:https://matchsystems.com
