永遠不要分享你的助記詞
助記詞到底是什麼
當你設置一個加密貨幣錢包時,錢包會生成一組助記詞:十二或二十四個按特定順序排列的普通單詞。這組詞語不是保護你錢包的密碼,它是你錢包中每一把私鑰的數學根源。
任何人拿到你的助記詞,都可以完整地重建你的錢包。他們不需要你的設備,不需要你的 PIN 碼,不需要訪問任何帳戶。他們在世界上任何地方,把那些詞輸入任何兼容的錢包應用程式,就完全控制了那個錢包曾經持有過、或將會持有的每一個地址、每一項資產、一切。
這就是助記詞與其他憑證在本質上的不同。被盜的密碼讓攻擊者能訪問一個帳戶,直到密碼被更改。被盜的助記詞讓攻擊者獲得了對錢包本身永久、不可撤銷的控制權。沒有辦法更改,因為助記詞不是保護錢包的東西,它就是錢包本身。
攻擊是如何運作的
成功竊取助記詞的攻擊,共用一個結構:它們創造出一種情境,讓輸入助記詞感覺像是對合法問題的正確回應。最常見的三種形式值得分開理解,因為它們在表面上看起來不同。
假冒客服是最持續存在的攻擊方式。用戶遇到問題:一筆失敗的交易、看起來不對的餘額、一個行為異常的錢包。他們去加密貨幣社群聚集的地方尋求幫助:Discord 伺服器、Telegram 群組、Twitter 留言區。有人迅速回應,自稱是該協議或錢包的官方支援,要求提供助記詞來「驗證錢包」或「診斷問題」。
沒有任何合法的支援團隊會要求你的助記詞。這不是一項政策,而是結構性的現實。錢包的設計假設只有你知道助記詞。一個擁有你助記詞的支援團隊,就完全控制了你的錢包,而這不是合法支援系統的構建方式。這個請求本身就是信號。
假冒空投從另一個角度利用了同樣的心理。一條訊息到來,通過 Discord、Telegram、電子郵件或社交媒體,說你有資格領取代幣分發。你點擊進入一個看起來像官方項目網站的頁面,要求輸入助記詞來「驗證資格」以領取空投。
沒有任何合法的空投需要助記詞。空投通過直接向錢包地址發送代幣來運作,接收者不需要做任何事,更不用說交出控制整個錢包的憑證。在這個情境下要求助記詞,是整個詐騙的機制所在。沒有空投,只有助記詞收集。
假冒錢包應用程式的場景在 ZenRealm 另一篇文章中有詳細介紹。簡短版本:一個假冒錢包應用程式出現在 App Store 或搜尋結果中,在設置過程中要求你輸入助記詞以「恢復現有錢包」。這個說法感覺可能合理。你在嘗試通過新應用程式訪問你現有的錢包。但合法的錢包應用程式只在你主動導入之前創建的錢包時才需要你的助記詞。任何把它作為標準設置流程一部分來請求的應用程式,都是設計來竊取它的。
出了問題之後會發生什麼
2026 年 4 月,一個假冒版本的 Ledger Live 應用程式出現在 Apple App Store 上,看起來與真實應用程式無從分辨。它要求用戶輸入助記詞,超過 50 人照做了。損失總額約為 950 萬美元,其中三名用戶各自損失超過 100 萬美元。
其中一名受害者,對外公開自稱 G. Love,描述了失去十年比特幣積蓄的經歷,那是他為退休積累的資金。他並不粗心,也沒有忽略任何警告。他使用了一個看起來是官方的、通過他被教導要信任的平台分發的應用程式。那個應用程式在 Apple 下架它之前存在了六天。
那次事件的損失不是技術漏洞的結果,而是人們在合法情境下回應看起來合法的請求的結果。助記詞是被主動輸入的,隨之而來的轉帳是不可撤銷的。
為什麼這些請求感覺如此可信
成功竊取助記詞的攻擊,往往使用三種心理槓桿中的一種或多種。
緊迫感:你的錢包有風險,你的資產可能被凍結,你需要在情況變得更糟之前立即行動。緊迫感壓縮了批判性地思考一個請求是否合理的時間。
權威感:訊息來自官方支援、一個經過驗證的帳號、一個你認識的平台。權威感製造了順從的傾向。如果來源看起來合法,請求感覺就應該被遵從。
機會感:有代幣可以在有限的時間內領取,你被選中了,窗口即將關閉。機會感製造了如果你暫停就會錯過有價值東西的恐懼。
這三種槓桿對加密貨幣並不獨特,它們是電話詐騙、釣魚郵件和各行各業社會工程攻擊中使用的相同機制。它們在加密貨幣中特別有效,是因為不可逆性,以及大多數用戶正在導航一個他們不完全理解的環境,這讓聽起來有權威的指引感覺更有必要。
真正能保護你的助記詞的是什麼
你的助記詞在恰好兩種情況下是需要的:當你第一次設置新錢包時,以及當你主動把之前創建的錢包恢復到新設備時。其他每一個輸入助記詞的請求,無論來源是什麼、給出的理由是什麼、情況多麼緊急,都是攻擊。
把助記詞離線保存。用手寫在紙上,或刻在金屬上。不要拍照,不要輸入任何文件、筆記應用程式或雲端服務,不要通過任何渠道發送給任何人。
如果你曾身處一種有人告訴你需要輸入助記詞來解決問題、領取獎勵或驗證某樣東西的情況,停下來。他們描述的問題不需要你的助記詞來解決,那個獎勵不需要它來領取,那個驗證不需要它。這個請求就是攻擊本身。
你建立的錢包、你積累的資產、你在幾個月或幾年裡做出的選擇,全部都可以在輸入二十四個單詞所需的時間內,轉移到一個陌生人的地址。助記詞是你的錢包和任何想要奪走它的人之間唯一的屏障。
大多數這樣損失了資金的人,都明白助記詞很重要。他們在關鍵時刻沒有充分具備的,是對哪些請求不可能合法的清晰認識。那條界線比看起來更簡單:任何真正在幫助你的人,都永遠不會需要它。
延伸閱讀: