用戶在抖音電商買到被動過手腳的冷錢包,一夜損失 690 萬美元,揭露硬體供應鏈攻擊風險。
(前情提要:抖音上買到「後門冷錢包」,某加密投資者損失人民幣5000萬)
(背景補充:冷錢包用戶注意!ESP32晶片遭爆漏洞「可偷取比特幣私鑰」 如何檢查設備是否有風險?)
今日(16)一名加密投資人透過Douyin Shop入手「原廠封條、低價搶購」的冷錢包,隔日醒來卻發現帳戶被清空 690 萬美元。SlowMist追蹤鏈上資料指出,私鑰在製造階段就外洩,駭客把資金匯入柬埔寨 Huiwang 集團控制的通道,短短數小時完成洗錢。事件凸顯硬體供應鏈攻擊火力正向錢包市場轉移。
惡意韌體鎖定私鑰生成
SlowMist 技術團隊抽取該錢包韌體,比對原廠映像檔後發現多出一段 4KB 程式碼,用來回傳 Seed Phrase。調查報告顯示,惡意程式包含固定 IP 清單,交易被盜資產亦循相同節點流向 Huiwang 地址。前 Bitmain 成員 Hella 透露,受害者通話時形容「整個錢包是一個精心設計的熱陷阱」。
「別為省幾百美元把一生積蓄押上去。」
SlowMist CISO「23pds」如上提醒。
供應鏈攻擊不只錢包
分析師 點名,駭客早已在印表機驅動程式、山寨 Android 手機埋伏相對應的木馬,六月另一則印表機驅動竊幣案和山寨手機預載木馬也採用相近手法,把惡意程式提前植入生產線。資安研究員指出,硬體產品越趨模組化,單一零件被替換就足以打開後門。
官方購買、離線初始化才可靠
資安專家建議:第一,直接向原廠或授權經銷通路採買,避開來歷不明的折扣。第二,拆封後先在離線環境生成 Seed Phrase,並加設 Passphrase 強度。第三,保持韌體更新、多因素驗證並定期監控資產異動。冷錢包能降低網路攻擊風險,但若私鑰在生產線就「裸奔」,再高的金庫也守不住。
