iPhone 加密貨幣錢包拉警報：코루나 攻擊工具包濫用 23 個 iOS 漏洞、專鎖助記詞與私鑰資產大洗劫

根據 Google 威脅分析小組（TAG）近期發布的報告，「코루나(Coruna)」*攻擊工具包*正透過 iOS 平台大規模流傳，專門鎖定行動端「*加密貨幣錢包*」進行資產竊取。這套「*漏洞利用套件*」一次性串聯「23 個 iOS 漏洞」，從瀏覽器入手，最終指向用戶的「*助記詞(Seed Phrase)*」、「*BIP39 詞組*」與「*私鑰*」，對長期將 iPhone 視為「相對安全環境」並用於交易、存放資產的投資人而言，是一記明確警訊。

根據 Google TAG 公布的技術分析，코루나 會在不被察覺的情況下，先利用瀏覽器弱點潛入系統，再掃描裝置內部資料。其行為包含：在記事本中搜尋記錄下來的「*助記詞*」、從相簿中辨識並抽取「*錢包 QR Code*」，以及在未完整修補的裝置中，直接讀取錢包「*私鑰*」，再透過「*Drainer（抽乾式錢包攻擊）*」將資產轉出。整個過程可在使用者尚未意識瀏覽器被入侵前，就已完成資金轉移，幾乎沒有反應時間。

專家指出，此次威脅被視為「級別升級」的關鍵，在於攻擊模式出現了「*從國家級間諜工具，轉為大眾化犯罪產品*」的轉折。過去這類多階段、串聯多個零日漏洞的複雜攻擊鏈，多半只出現在國家支持的駭客組織，或 NSO Group 等高價間諜軟體供應商所掌握的攻擊工具中，以政治人物、外交官、記者等「高價值標的」為主要目標。然而，코루나 展現出這種高階技術被「包裝成商品」，投放到一般網路犯罪市場的趨勢，也就是所謂攻擊技術生態的「*regime change（政權更替）*」。

市場背景同樣加重了外界對此事件的憂慮。鏈上數據分析機構「*Chainalysis*」先前預估，*2025 年*整體「*加密貨幣竊盜*」規模可能突破 *750 億美元*，而其中「*錢包 Drainer*」類型攻擊所占比重相當可觀。在這樣的環境下，一套專門針對 iOS 生態、具備自動化掃描與竊取功能的「*行動端資產脫褲工具包*」流通，勢必會對以手機為主要交易與存放界面的市場，帶來直接衝擊。

코루나 的技術路徑被描述為標準化的「*一鍵（1-Click）攻擊*」。當使用者連上遭植入惡意程式碼的網站時，攻擊便隨即啟動。這些「*感染網站*」表面上可能偽裝成「線上博弈平台」、「新聞入口頁」或加密貨幣相關服務頁面，以正常內容吸引用戶停留與點擊。一旦使用者互動，攻擊程式便透過「*WebKit 系列漏洞*」嘗試突破瀏覽器防護，接著連續利用「*本機權限提升(Local Privilege Escalation)*」等弱點，從沙盒環境橫向移動到系統層級。

Google TAG 在檢測 iOS 13.0 至 17.2.1 多個版本時發現，這並非依賴單一漏洞的簡單攻擊，而是利用「*多重入口*」達成載荷投遞。最終目標是將裝置轉化為針對「*加密貨幣錢包 Drainer*」的資料探測器：自動掃描檔案系統中與虛擬資產相關的字串，檢查照片庫中可能含有地址或金鑰資訊的 QR Code，從記事工具與備忘錄抓取「*助記詞/Seed Phrase*」，再將收集到的關鍵資料用來遠端清空錢包。

由於「*區塊鏈交易不可逆*」這一結構性特徵，一旦「*私鑰*」或「*助記詞*」外流，用戶實際的資產控制權就會瞬間喪失，很難透過傳統金融體系的「交易取消」或「凍結機制」追回。這也代表，對以 iPhone 作為主要交易工具與資產儲存設備的使用者來說，是否及時安裝「*iOS 安全性更新*」與補丁，實際上已經等同於個人資產的第一道「*防火牆*」。

在攻擊技術演進脈絡上，資安社群早已觀察到一種長期存在的「*技術外溢與洩漏模式*」：原本專用於情報工作的零日漏洞與攻擊框架，會隨著時間推進、源碼流出或攻擊樣本被分析而逐步「流入犯罪地下市場」。코루나 被視為這一脈絡中的最新案例之一。其所展現的，是類似「*Operation Triangulation（行動三角測量）*」等疑似國家級行動中所使用的高階漏洞運用手法，被「翻譯」成可供金錢導向犯罪組織使用的「*現成商品*」。

業界觀點指出，攻擊者現階段追求的已非國家機密，而是高度流動的「*流動性資產*」。資安公司「*iVerify*」在文件中記載，코루나 相關攻擊目前已確認至少影響「*4.2 萬台*」裝置，但實際遭竊金額尚未對外公開。由於「Drainer 攻擊」往往會將被害者分散在多個錢包、長時間持續抽取少量資金，整體損失規模可能在未來才會逐步浮現。

從攻擊目標輪廓來看，코루나 的鎖定對象相對清楚：那些透過手機進行頻繁交易，並使用「*自我託管(Self-Custody) 錢包*」而非中心化交易所帳戶的用戶。攻擊入口也多半藏身於加密貨幣用戶常出沒的「*灰色地帶*」網站與服務之中，例如未受監管的線上賭博平台、「可疑的空投/領幣頁面」、第三方 App Store 下載站等。

技術層面上，코루나 被發現會直接針對多款主流「*非託管錢包*」的「*資料目錄(Data Directory)*」進行掃描與鎖定，包括：*MetaMask*、*Bitget Wallet（前身 BitKeep）*、*Trust Wallet* 等。若這些錢包的「*金庫(Vault)*」加密設計較弱，或用戶將解鎖密碼、備份資訊存放在「*鑰匙圈(Keychain)*」、「記事本」或其他易讀位置，當系統本身被完全攻陷時，錢包極有可能在無任何互動提示的情況下被「一次性清空」。

行為層面的風險，也加劇了行動交易者的脆弱度。習慣以手機操作的投資人，往往會在通勤、移動中快速登入去中心化應用（*DApp*），在短時間內完成簽署與交易，安全檢查常被讓位給「速度與方便性」。코루나 的危險之處，在於它不再需要傳統上那種「*誘導簽署惡意交易*」或釣魚頁面，而是透過系統層級入侵，直接竊取「控制權憑證」（*私鑰/Seed Phrase*），讓攻擊壓根不需要與使用者互動。

從防護角度出發，專家普遍建議，短期內行動用戶應優先完成幾項措施：其一，立即檢查 iPhone 是否已更新至最新 iOS 版本，並確認所有「*安全性更新*」已安裝；其二，全面檢視記事本、備忘錄、相簿等應用中，是否仍留有「*助記詞、私鑰、恢復詞組、錢包 QR Code*」等敏感資訊，並盡快刪除或轉移至更安全的儲存方式；其三，重新評估「*長期持有資產*」是否應轉移至「*冷錢包*」，如硬體錢包品牌 *Ledger*、*Trezor* 等，以降低行動裝置遭入侵時的最大損失。

「評論」隨著行動端交易與 Web3 互動場景持續擴大，「*iPhone 相對安全*」這一認知正遭遇現實挑戰。코루나 事件所暴露的，不只是單一漏洞或單一套件的風險，而是高階攻擊技術「*商品化*」後，大量湧入加密貨幣竊盜市場的結構性變化。對投資人而言，真正需要更新的，可能不只是 iOS 版本，還包括對「*行動裝置安全邊界*」的整體想像與風險管理習慣。