硬體錢包假郵件詐騙捲土重來：鎖定 레저(Ledger)、트레저(Trezor) 竊取復原片語與加密資產

根據 The Record 的報導，於 13 日（當地時間），針對全球「硬體錢包」使用者的「假郵件詐騙」手法再度出現，主要鎖定「레저(Ledger)」與「트레저(Trezor)」兩大品牌。攻擊者透過實體郵件向用戶寄送看似正式通知的信件，引導收件人掃描 QR Code，最終騙取「錢包復原用的『助記詞／種子片語（Seed Phrase，以下簡稱『復原片語』）」並竊取比特幣(BTC)、以太幣(ETH)等加密資產。

這波警訊源自資安專家 Dmitry Smilyanets（迪米特里·斯米利亞涅茨）在 2 月 13 日公開表示，他收到一封冒用「트레저」名義的可疑實體信件。信中聲稱，用戶必須在 2 月 15 日前完成所謂「Authentication Check（認證檢查）」程序，否則裝置功能可能會受到限制。為了營造官方通知的錯覺，信上不只印有仿造的企業標誌，還貼上「全息防偽貼紙」與「QR Code」，表面上彷彿是安全升級通知，實際上卻是通往惡意網站的精心設計「網路釣魚」陷阱。

更具迷惑性的是，根據「斯米利亞涅茨」說法，這封信被刻意偽裝成來自捷克硬體錢包公司「트레저」的執行長 Matěj Žák（馬捷·扎克），簽名欄也像是由他親筆簽署；但信件內容卻在文字中把他稱為「Ledger CEO」，刻意將兩家公司的名稱混用，讓收件人誤以為這是某種聯合安全公告。早在 2023 年 10 月，就已經有「레저」用戶回報收到內容相似的實體信件，當時對方同樣以「必須完成 Transaction Check（交易檢查）」為由，誘導用戶進入惡意網站。

「評論」：攻擊者刻意混淆品牌與職稱，是典型的「社交工程」手法。對不熟悉公司結構的一般投資者而言，看到 CEO 名字與 Logo 就容易放下戒心，更凸顯實體郵件攻擊的危險性。

這些詐騙信件的核心工具是「QR Code」。收件人若毫無戒心地掃描，便會被導向一個高度仿真的釣魚網站，頁面介面刻意模仿「레저」或「트레저」的初始設定／裝置啟動畫面，看起來與官方安裝頁面極為相似。對缺乏資安經驗的用戶來說，幾乎難以分辨真偽。

在該網站上，攻擊者通常會以「錢包還原」或「安全驗證」為名，要求用戶輸入完整的「復原片語」。一旦使用者依指示將所有單字輸入完畢，這些敏感資訊便會透過後端 API 傳送至攻擊者控制的伺服器。隨後，攻擊者會在自己的硬體錢包或軟體錢包中，輸入同一組「復原片語」，將受害者的錢包完整還原，再將其中的比特幣(BTC)、以太幣(ETH)等加密資產一次性轉走。

「評論」：技術上，拿到「復原片語」就等於掌握該錢包的「完全所有權」。無論使用者是否啟用 PIN、指紋或其他裝置鎖，只要種子片語外流，任何人都能在別的裝置上複製同一個錢包。

值得強調的是，正常情況下，任何一家「硬體錢包」公司都不會透過「網站、電子郵件、簡訊、實體郵件、電話」等任何方式，主動要求用戶提供「復原片語」。包括「레저」與「트레저」在內的官方文件一再警告，用戶只要把復原片語分享給第三方，等同於主動解除錢包的所有安全保護。

這次事件之所以格外令人擔憂，與「레저」與「트레저」過去多年遭遇的「客戶資料外洩」紀錄密切相關。近幾年，兩家公司及其第三方物流與行銷合作夥伴先後發生多起資料庫入侵事件，導致客戶姓名、電子郵件、電話號碼，甚至包括出貨與郵寄使用的「實際收件地址」遭到外流。

這些資料隨後在「暗網」等地下市場被反覆轉賣。攻擊者不但藉此大量發送垃圾訊息與釣魚郵件，如今更進一步升級為「結合實體郵件」的複合式攻擊。資安業界擔心，這類資料一旦落入犯罪集團手中，不只會拿來竊取加密資產，還可能演變成「針對大額持幣者的實體威脅或恐嚇」，風險層級遠高於一般網路詐騙。

另一方面，「트레저」已在 2024 年 1 月正式承認一宗規模約「6.6 萬名客戶聯絡資訊外洩」的安全事件。公司當時表示，雖然「復原片語與錢包密碼並未遭到外洩」，但市場觀點認為，即便只有聯絡方式與地址洩漏，已足以成為精準「釣魚攻擊」與「假郵件詐騙」的原料，對用戶安全造成長期壓力。

事實上，鎖定「레저」與「트레저」使用者的「線下攻擊」已持續多年。早在 2021 年，與 2020 年「레저」資料外洩事故相關的一起事件中，就有受害者回報，攻擊者直接寄送「偽造的 레저 나노(Ledger Nano) 硬體錢包」到用戶家中。當時對方甚至連「外盒包裝、說明書、封條」都高度仿冒，誘使用戶誤以為是官方更換新機，並在初始化過程中輸入復原片語，最終導致資產被整批轉走。

2025 年 4 月，又有一波大規模郵寄攻擊被揭露，信件同樣以「掃描 QR Code 完成安全檢查」為名，引導用戶至偽造網站。今年 5 月，也曾出現冒充「레저 라이브(Ledger Live)」的「假應用程式」，用戶在該 App 中輸入的「復原片語」同樣被即時竊取，隨後加密貨幣被不明地址轉出。

隨著這類「實體郵件＋假網站／假 App」組合攻擊愈來愈頻繁，「레저」在 2025 年 10 月透過官網發布正式公告，重申「任何要求透過實體郵件輸入復原片語的通知一律為詐騙」，呼籲用戶務必提高警覺。「트레저」亦同步加強相關警示，提醒使用者：只要不是來自「官方認證渠道」的通知，一律應抱持懷疑態度。

雖然「레저」與「트레저」都是海外廠商，但在本地市場，許多長期持有比特幣(BTC)、以太幣(ETH)、Solana(SOL) 等主流資產的個人投資者，早已將這兩款硬體錢包視為主要自託管工具。因此，這波「實體郵件釣魚」與「假裝安全檢查」的攻擊模式，未來蔓延至「本地投資人」的可能性不容忽視。

市場分析人士指出，「硬體錢包」確實能在技術層面隔離私鑰，降低鏈上攻擊風險，但一旦「使用者的安全意識」被社交工程攻破，再安全的裝置也形同虛設。尤其是「實體郵件、電話、通訊軟體」等看似傳統、具有人情味的聯繫方式，更容易讓投資人鬆懈，成為攻擊者突破防線的切入點。

對所有硬體錢包使用者而言，現在應該假設「自己的姓名與住址可能已被外流」作為最壞情境，重新檢視個人安全習慣。無論在任何情況下，「復原片語」都必須只由本人知悉，並以「完全離線」且安全的方式保存。只要有任何「郵件、電子郵件、網站、應用程式、電話」要求輸入或拍照、上傳「復原片語」，就可直接判定為「詐騙」。在硬體錢包的世界裡，守住這一條底線，往往就是守住全部資產的關鍵。