欧易okx交易所官网

2025年5月，知名安全专家余弦（@evilcos）再次发出警告，提醒数字资产用户警惕一种自2021年起开始流行、至今仍在演化的高危钓鱼攻击——伪造Ledger硬件钱包并通过快递邮寄方式引诱用户“自投罗网”。这种攻击利用了用户对硬件钱包厂商的信任与对资产安全的担忧，通过实体设备+社交工程的复合手法，已经在多个国家造成用户数字资产损失。

该攻击模式的关键在于攻击者获取了此前Ledger官网遭遇数据泄露时暴露的用户信息，包括姓名、地址、购买记录等。随后，他们伪装成Ledger公司，以“安全召回”或“固件升级”为由，向受害者邮寄一个假冒的Ledger硬件钱包。在包装盒和说明书上，这些设备高度仿真，甚至连包装细节都难以一眼分辨，极具欺骗性。

用户打开包装后，往往会发现一张“操作指南”，指示他们将现有钱包的助记词输入至新的设备或配套“Ledger恢复应用程序”中。实际上，这一应用程序是攻击者开发的恶意工具，一旦用户照做，其助记词将被实时传输至攻击者服务器，进而导致钱包内的所有数字资产被盗。

更危险的是，这类攻击还有多种变种。例如，有的攻击者提供“预设助记词”并声称是“默认恢复账户”，诱导用户登录后再引导其导入真实助记词以“同步旧资产”；还有攻击者在假设备中植入可能被篡改的伪随机数生成器，制造一个“安全感”却控制了所有私钥生成的陷阱。这些精心设计的手段，使得攻击具有高度隐蔽性与技术性，即使是经验丰富的用户也可能中招。

安全专家指出，这类攻击的成功率看似不高，但其针对的是高净值个体和机构用户，一次成功即可造成巨大损失。尤其在攻击手法中加入了“权威身份伪装”元素，如假冒Ledger CEO的签名信件或模拟公司官方网站，让不少用户在恐慌和急于“自我保护”的心理驱使下误入陷阱。

为此，业内呼吁用户始终遵循以下安全原则：第一，永远不要在非官方渠道输入助记词，不管对方看起来多么“正规”；第二，Ledger及其他主流硬件钱包厂商从未主动邮寄新设备要求用户迁移助记词；第三，如收到任何可疑设备或邮件，应立即联系官方客服核实；第四，对于硬件钱包，始终在可信来源下操作，如离线生成和多重验证。

此外，硬件钱包厂商也应加强用户教育与供应链管理。虽然数据泄露事件已过去数年，但由此衍生出的物理钓鱼攻击并未消失，反而正在以“冷启动”的方式继续扩散。在AI与自动化工具的加持下，攻击者有能力大规模复制用户信息和欺诈材料，因此必须在社区层面建立长期、动态的防御意识。

在数字资产生态愈发壮大的2025年，资产安全不仅仅是技术问题，更是人性、心理与信任体系的试炼。只有警惕、知识与谨慎三者并举，才能在这个高风险高回报的世界中真正守护住自己的加密财富。