Bitaigen Research 近期錢包安全事件頻發
4 月 18 日,MetaMask 開發者 @tayvano_ 在社群發布了一條涉及 5000 枚 ETH 被盜的推文,隨後引發了對 MetaMask 是否存在安全漏洞的廣泛猜測與恐慌。次日,MetaMask 官方回應稱盜幣傳聞不實,但已著手調查可能的漏洞來源。
緊接著,4 月 20 日 imToken 官方發布警示,稱不法分子冒充 imToken 工作人員,透過簡訊等渠道誘導使用者訪問釣魚站點並洩露助記詞,導致資產受損。僅一天後,慢霧研究員在 Google 搜尋 “imToken” 時發現置頂廣告已被惡意網站佔據,提醒使用者切勿點擊。
4 月 22 日,Trust Wallet 發布公告,稱去年 11 月 14 日至 23 日期間新建立的錢包地址存在安全缺口,已啟動補償流程。
隨著 DeFi、NFT 等鏈上交互需求激增,使用者不再滿足於僅在中心化交易所持倉,越來越多的人將代幣存入個人錢包。此一趨勢讓黑客擁有了更大的攻擊面,常見的風險包括授權失誤、下載惡意 APP、錢包本身漏洞等,資產安全已成為每位持幣者必須掌握的基本技能。
下面我們將從錢包的基本概念、典型被盜案例以及私鑰保護措施等角度,系統梳理如何降低資產被盜的機率。
我們在本文中梳理近期多起主流錢包被盜的背後手法,揭示釣魚攻擊的演變路徑,並提供實用的防護措施。透過對 MetaMask、imToken、Trust Wallet 等案例的解析,協助使用者識別風險、提升資產安全。
錢包基礎概念
在談論安全之前,先了解幾項核心概念,有助於後續的防護操作。
1. 對稱加密 vs. 非對稱加密
對稱加密指加密方與解密方使用同一套演算法和密鑰;非對稱加密則採用一對密鑰——公鑰與私鑰,公鑰用於加密,私鑰負責解密,二者不可互換。
如圖所示,非對稱體系中訊息接收方的公鑰與私鑰並非同一把鑰匙。
2. 公鑰、私鑰、助記詞與地址
掌握了加密方式後,下面介紹錢包內部常見的要素。
- 密鑰對:由公開的公鑰和保密的私鑰組成。
- 公鑰:用於對資料加密,僅能透過對應的私鑰解密。
- 私鑰:可由其生成公鑰,負責解密公鑰加密的資訊。
- 地址:公鑰經過一定演算法壓縮後得到的短字串,便於在鏈上使用。
- 助記詞:為了解決私鑰長度過長、難以記憶的問題,業界引入了一組可讀的單詞(通常為 12 個),其本質等同於私鑰。
在實際交易中,使用者透過 電子簽名(使用私鑰對交易資訊簽名)來確認操作,網路節點則利用對應的公鑰進行 簽名驗證,確保交易的真實性。可以把公鑰(地址)想像成銀行帳號,私鑰(助記詞)則相當於帳號密碼,掌握私鑰即等同於掌握資產所有權。
3. 私鑰的存儲方式
區塊鏈上的資產並不存放於錢包 APP 本身,而是鎖定在對應地址上,只要擁有私鑰就能對該地址進行控制。因此,私鑰的安全直接決定資產安全。錢包在首次建立時通常會提醒使用者妥善備份私鑰,一旦遺失將無法找回。
4. 熱錢包與冷錢包
- 熱錢包:包括瀏覽器外掛、行動端 APP 等,使用便利、交易速度快,但因始終在線,安全性相對較低。
- 冷錢包:以硬體設備形態存在,離線保存私鑰,抗攻擊能力強,適合長期持有大額資產,使用時需連接設備並進行額外操作。
了解上述概念後,所有的防護手段其實都圍繞「保護私鑰」展開。
典型被盜案例
透過真實案例可以更直觀地看到風險點,進而採取針對性的防禦措施。
1. 助記詞洩露
- 2021 年初,生財有術創辦人亦仁將比特幣私鑰保存在雲筆記中,導致價值上千萬美元(約 3.2 億台幣)的 BTC 被盜。
- 2022 年 11 月,分散式資本創辦人沈波的數位資產(包括 38,233,180 枚 USDC、1,607 枚 ETH、719,760 枚 USDT 以及 4.13 枚 BTC)被竊,事後安全機構慢霧認定是助記詞洩漏所致。
2. 私鑰遺失
英國 IT 工程師 James Howells 在 2013 年誤丟裝有約 8,000 枚比特幣的硬碟,九年後仍計畫投入巨資尋找。
3. 點擊惡意連結
- 一名使用者隨意點擊陌生連結,導致黑客讀取本機 MetaMask 加密備份,資產被全數轉走。
!
相關閱讀
💡 註冊幣安使用邀請碼 B2345 享平台手續費折扣。詳見 幣安完整教學。
⚠️ 風險提示:加密貨幣價格波動極大,本文不構成投資建議,請理性投資。
