冷钱包不冷？资深记者如何被骗 40 万美元

December 30th, 2024

冷钱包，一直被认为是加密货币存储最安全的方式之一。由于它不连接互联网，理论上可以有效避免黑客攻击。可是，最近 Coindesk 报道了一起令人震惊的事件：一位资深加密行业从业者，通过冷钱包存储的 40 万美元数字资产，被骗子轻松骗走了。

而且，这次“冷钱包翻车”，并不是黑客破解了高科技防线，而是一次精心设计的社交工程攻击。

社交工程攻击，你可能没有听说过。简单解释一下就是：受害者在没有任何技术漏洞的情况下，仅凭几次错误的信任和操作，便将自己毕生的积蓄拱手相让。

然而，整篇报道对具体被骗过程语焉不详，似乎有意隐瞒一些细节。为了揭开资深人士为何被骗的真正内幕，我经过多方查证，终于找到了相对完整的细节，等一下会详细讲给你听。

你可能在想，如果连资深记者都能被骗，一般人岂不是更加防不胜防？所以，你可能会觉得这个区块链领域风险也太大了，算了，还是敬而远之吧。如果这样，你就变成因噎废食了，其实，要防止被骗也非常的简单，最后我会告诉你最简单的方法，从此让区块链骗子对你无计可施。

好了，我们先来了解一下被骗的资深记者是谁？他又是如何被骗的？

1. 资深记者被骗

被骗者是奥利维尔·阿库尼亚（Olivier Acuña），一位曾在墨西哥深度调查毒品集团和政府腐败的资深记者。他不仅在新闻界摸爬滚打数十年，还转型进入加密货币行业，成为一名经验丰富的从业者。他曾在区块链公司 IoTeX 担任公关总监，管理公司的对外宣传工作，并积极推广区块链技术的应用。

阿库尼亚的薪资和奖金以 IoTeX 的代币 IOTX 支付，并存储在一个 Ledger 硬件钱包中。这种冷钱包通过离线存储提供了额外的安全性。他对区块链技术充满信任，认为加密货币的去中心化特性能够对抗腐败与审查。然而，正是这种信任让他在骗局面前稍有松懈。

1.1 问题

奥利维尔·阿库尼亚的故事从一次再普通不过的提现尝试开始。作为一名加密行业的资深从业者，他将自己两年来在 IoTeX 工作中积累的代币 IOTX 存放在冷钱包中——一个名叫 Ledger 硬件设备。这种设备以其离线存储的特点而闻名，通常被认为是比较安全的加密货币存储方式。然而，当阿库尼亚准备提取这笔本打算作为退休养老金的代币时，却发现硬件钱包的应用出现了问题。

阿库尼亚尝试了多次操作，却始终无法完成提现。屏幕上不断弹出令人沮丧的提示信息。他并非技术专家，对硬件钱包的具体工作原理也并不了解，因此无法判断究竟哪里出了问题。这种挫败感逐渐转化为焦虑。他需要这笔钱，事情迫在眉睫，但硬件钱包似乎成了不可逾越的障碍。

1.2 求助

在无计可施之下，阿库尼亚决定向外求助。他打开了社交媒体平台 X（原 Twitter），在一个关于 Ledger 应用更新的帖子下留言，请求官方的帮助。他的帖子内容详述了问题所在，并希望尽快得到解决。

很快，一位“救星”出现了。这是一个蓝勾认证的账号，自称是 Ledger 官方客服。他们通过私信联系了阿库尼亚，语气专业而热情，声称已经了解了他的情况，并表示愿意提供帮助。

对方告诉阿库尼亚，他的问题非常常见，并且可以通过更新钱包应用来解决。紧接着，他们发送了一条链接，称是“官方的修复工具”。链接页面看起来极其专业，完全复刻了 Ledger 的官方网站，从布局到图标，无一不显得逼真。阿库尼亚并没有怀疑，点击了链接，按照页面提示下载了所谓的修复工具。

安装完成后，对方进一步指导他操作，称为了验证账户信息，需要输入助记词。助记词是加密钱包的核心密钥，由 12 到 24 个单词组成，用于恢复或访问钱包中的资产。对方用温和而坚定的语气表示，这是解决问题的最后一步。然而，屏幕上的提示并没有如愿显示“问题已解决”。

1.3 被骗

几分钟后，他再次尝试访问自己的钱包，却发现余额已经清零。他的 40 万美元 IOTX 代币，几乎在瞬间被转移到一个陌生地址。他试图通过区块链浏览器追踪这笔钱，但发现它已被迅速分散到多个钱包地址，并最终转移至世界最大的加密货币交易所 Binance。

阿库尼亚立刻联系 Binance，希望能够冻结这些资金，但交易所表示，必须有警方的正式介入才能采取行动。他转而报警，然而西班牙警方的处理速度远不及骗子的转移速度。当调查展开时，那些代币早已不知去向。

在这场悲剧中，阿库尼亚只追回了一小部分价值约 2 万美元的稳定币，而其余价值近40万美元的 IOTX 代币彻底化为乌有。这些积蓄本是他计划用来养老的资金，如今却被骗子洗劫一空，成为一场再也无法弥补的损失。

2. 问题出在哪里？

阿库尼亚的被骗过程充分暴露了社交工程攻击的核心机制：利用人性弱点进行心理操控。具体来看，这场骗局的成功并非单纯依赖技术手段，而是抓住了阿库尼亚在问题中暴露的几大关键失误：

2.1 社交媒体留言暴露了个人信息

阿库尼亚在社交媒体平台 X（原 Twitter）公开留言，详细描述了自己在提现过程中遇到的问题。这一举动虽然是为了寻求帮助，但实际上等于向骗子敞开了大门。公开提及“硬件钱包”“提现失败”“代币存储”等关键词，会吸引诈骗者的注意，尤其是在诈骗活动猖獗的加密领域。

骗子通过这些信息精准识别出阿库尼亚的困境，并伪装成专业的客服，趁虚而入。如果阿库尼亚能够选择通过官方渠道寻求帮助，或者仅限于私密的社区内沟通，可能就不会被骗子盯上。

2.2 信任蓝勾认证导致误判

骗子的账号带有蓝勾认证，这是阿库尼亚放松警惕的关键原因之一。

蓝勾认证原本是 X 平台用来标识名人、组织或值得信赖账号的一种方式，能让用户区分真假。然而，自从该平台推出订阅服务后，任何人只需支付月费即可获得蓝勾，这使得蓝勾认证不再具有权威性。

骗子正是利用了用户对蓝勾的习惯性信任，成功伪装成官方账号。阿库尼亚显然没有意识到这一变化，甚至未对账号进行进一步核实。如果他能仔细检查账号历史推文或通过官方渠道验证客服身份，可能就能识破这个骗局。

2.3 接受陌生人提供的链接

骗子发送的链接是一个精心设计的钓鱼网站，其页面完全模仿了 Ledger 的官方网站，从布局到图标，几乎做到以假乱真。这种钓鱼网站是社交工程攻击的常用工具，通过伪装让受害者误以为自己正在与官方互动。

阿库尼亚在没有进一步核实的情况下，直接点击并下载了所谓的“修复工具”。随后，他按照提示输入了助记词——冷钱包的核心密钥。助记词一旦泄露，就等于将钱包的所有权完全拱手相让，这是加密货币领域的重大安全失误。

如果他能意识到官方客服不会通过社交媒体私信发送链接，也不会要求输入助记词，那么这场悲剧完全可以避免。

2.4 小结

发现没有，整个的诈骗过程真的是一个工程，环环相扣。我们不能怪阿库尼亚不小心输入了助记词，因为那是在本地。我们也不能怪他不小心在社交媒体上留言求救，因为正常人也都会这么做。我们更不能怪他轻信了蓝勾认证，因为蓝勾认证已经不可信，也是一般人不知道的信息。

那么，我们就真的没有办法了吗？

有的。不但有，而且方法也很简单。

3. 如何才能不被骗？

一句话：打死你也不要告诉任何人你的助记词（或私钥）。这里的“任何人”包括各种软件和网页。

为什么呢？

因为助记词（或者私钥）就是你数字资产的“命根子”。一旦泄露，就好比把你家所有的钥匙、密码甚至房产证都交给了陌生人，他们只需要几分钟，就能搬空你的“数字银行账户”。而这个过程，不需要你签字，不需要你按确认键，也不会有任何“反悔”机会——在区块链世界，交易一旦发生，就不可逆转。

想象一下，你有一个保险柜，里面装着你毕生的积蓄。保险柜的钥匙只有一把，而助记词就是这把钥匙。有人告诉你：“嘿，咱们修一下保险柜吧，放心把钥匙给我，我帮你搞定！”你会怎么做？你会随便把钥匙交出去吗？现实生活中你可能不会，因为这是明摆着的风险。但在数字世界，这把“钥匙”被伪装成一组看似无害的单词（助记词），许多人因此放松了警惕。

现在你应该知道助记词（私钥）泄露的后果有多严重了吧。它就是数字资产的绝对控制权。失去了它，你将失去一切。

为了实现“打死也不泄露助记词”，你需要做到以下 4 点：

牢记：官方不会索要助记词 任何号称官方客服、技术支持的人员，无论他们多么“专业”，多么“急切”，只要提到助记词，就可以100%确定是骗子。记住，真正的客服不需要你的助记词来解决任何问题。
小心链接，避免钓鱼网站 不要轻易点击别人发来的链接，更不要在陌生网站输入助记词。如果必须输入助记词，确保是在硬件钱包的官方应用中，且是在离线状态下。
分散存储，避免单点失误 不要把所有资产都存放在同一个钱包中，特别是只依赖一个助记词的地方。多层分散存储可以有效降低损失风险。
助记词永远离线存储 写在纸上、刻在金属板上都可以，但千万别保存在电子设备上。因为黑客能通过远程攻击获取电子设备里的信息，而一张纸或金属板，他们连碰都碰不到。如果你的资产是比特币，这里有一个零基础的冷钱包的制作教程，完全免费。