永远不要分享你的助记词
助记词到底是什么
当你设置一个加密货币钱包时,钱包会生成一组助记词:十二或二十四个按特定顺序排列的普通单词。这组词语不是保护你钱包的密码,它是你钱包中每一把私钥的数学根源。
任何人拿到你的助记词,都可以完整地重建你的钱包。他们不需要你的设备,不需要你的 PIN 码,不需要访问任何账户。他们在世界上任何地方,把那些词输入任何兼容的钱包应用程序,就完全控制了那个钱包曾经持有过、或将会持有的每一个地址、每一项资产、一切。
这就是助记词与其他凭证在本质上的不同。被盗的密码让攻击者能访问一个账户,直到密码被更改。被盗的助记词让攻击者获得了对钱包本身永久、不可撤销的控制权。没有办法更改,因为助记词不是保护钱包的东西,它就是钱包本身。
攻击是如何运作的
成功窃取助记词的攻击,共用一个结构:它们创造出一种情境,让输入助记词感觉像是对合法问题的正确回应。最常见的三种形式值得分开理解,因为它们在表面上看起来不同。
假冒客服是最持续存在的攻击方式。用户遇到问题:一笔失败的交易、看起来不对的余额、一个行为异常的钱包。他们去加密货币社群聚集的地方寻求帮助:Discord 服务器、Telegram 群组、Twitter 留言区。有人迅速回应,自称是该协议或钱包的官方支持,要求提供助记词来「验证钱包」或「诊断问题」。
没有任何合法的支持团队会要求你的助记词。这不是一项政策,而是结构性的现实。钱包的设计假设只有你知道助记词。一个拥有你助记词的支持团队,就完全控制了你的钱包,而这不是合法支持系统的构建方式。这个请求本身就是信号。
假冒空投从另一个角度利用了同样的心理。一条消息到来,通过 Discord、Telegram、电子邮件或社交媒体,说你有资格领取代币分发。你点击进入一个看起来像官方项目网站的页面,要求输入助记词来「验证资格」以领取空投。
没有任何合法的空投需要助记词。空投通过直接向钱包地址发送代币来运作,接收者不需要做任何事,更不用说交出控制整个钱包的凭证。在这个情境下要求助记词,是整个诈骗的机制所在。没有空投,只有助记词收集。
假冒钱包应用程序的场景在 ZenRealm 另一篇文章中有详细介绍。简短版本:一个假冒钱包应用程序出现在 App Store 或搜索结果中,在设置过程中要求你输入助记词以「恢复现有钱包」。这个说法感觉可能合理。你在尝试通过新应用程序访问你现有的钱包。但合法的钱包应用程序只在你主动导入之前创建的钱包时才需要你的助记词。任何把它作为标准设置流程一部分来请求的应用程序,都是设计来窃取它的。
出了问题之后会发生什么
2026 年 4 月,一个假冒版本的 Ledger Live 应用程序出现在 Apple App Store 上,看起来与真实应用程序无从分辨。它要求用户输入助记词,超过 50 人照做了。损失总额约为 950 万美元,其中三名用户各自损失超过 100 万美元。
其中一名受害者,对外公开自称 G. Love,描述了失去十年比特币积蓄的经历,那是他为退休积累的资金。他并不粗心,也没有忽略任何警告。他使用了一个看起来是官方的、通过他被教导要信任的平台分发的应用程序。那个应用程序在 Apple 下架它之前存在了六天。
那次事件的损失不是技术漏洞的结果,而是人们在合法情境下回应看起来合法的请求的结果。助记词是被主动输入的,随之而来的转账是不可撤销的。
为什么这些请求感觉如此可信
成功窃取助记词的攻击,往往使用三种心理杠杆中的一种或多种。
紧迫感:你的钱包有风险,你的资产可能被冻结,你需要在情况变得更糟之前立即行动。紧迫感压缩了批判性地思考一个请求是否合理的时间。
权威感:消息来自官方支持、一个经过验证的账号、一个你认识的平台。权威感制造了顺从的倾向。如果来源看起来合法,请求感觉就应该被遵从。
机会感:有代币可以在有限的时间内领取,你被选中了,窗口即将关闭。机会感制造了如果你暂停就会错过有价值东西的恐惧。
这三种杠杆对加密货币并不独特,它们是电话诈骗、钓鱼邮件和各行各业社会工程攻击中使用的相同机制。它们在加密货币中特别有效,是因为不可逆性,以及大多数用户正在导航一个他们不完全理解的环境,这让听起来有权威的指引感觉更有必要。
真正能保护你的助记词的是什么
你的助记词在恰好两种情况下是需要的:当你第一次设置新钱包时,以及当你主动把之前创建的钱包恢复到新设备时。其他每一个输入助记词的请求,无论来源是什么、给出的理由是什么、情况多么紧急,都是攻击。
把助记词离线保存。用手写在纸上,或刻在金属上。不要拍照,不要输入任何文件、笔记应用程序或云端服务,不要通过任何渠道发送给任何人。
如果你曾身处一种有人告诉你需要输入助记词来解决问题、领取奖励或验证某样东西的情况,停下来。他们描述的问题不需要你的助记词来解决,那个奖励不需要它来领取,那个验证不需要它。这个请求就是攻击本身。
你建立的钱包、你积累的资产、你在几个月或几年里做出的选择,全部都可以在输入二十四个单词所需的时间内,转移到一个陌生人的地址。助记词是你的钱包和任何想要夺走它的人之间唯一的屏障。
大多数这样损失了资金的人,都明白助记词很重要。他们在关键时刻没有充分具备的,是对哪些请求不可能合法的清晰认识。那条界线比看起来更简单:任何真正在帮助你的人,都永远不会需要它。
延伸阅读: