冷錢包當心！Trezor、Ledger 用戶接連收到含釣魚 QR Code 的實體信件

加密貨幣詐騙手法再度升級，近期多名包括 Trezor、Ledger 等硬體錢包用戶通報收到偽裝成官方通知的實體信件，信中要求掃描 QR Code 進行強制驗證，實則誘騙用戶輸入助記詞，藉此盜取資產。此類攻擊並非首次出現，再度凸顯個資外流與社交工程詐騙的長期風險。

實體信件偽裝官方通知，要求限期「身份驗證」

網路資安團隊 Dmitry Smilyanets 指出，多名用戶收到署名來自 Trezor 或 Ledger 的紙本信件，內容聲稱需在特定期限內完成「身分驗證檢查 (Authentication Check)」或「交易檢查 (Transaction Check)」，否則裝置可能遭到限制。

據報，信件外觀製作精細，包含偽造簽名、品牌標誌及防偽貼紙，並附上驗證 QR Code。部分案例中，信件甚至冒用了 Trezor 的執行長 Matěj Žák 名義簽名。

掃描 QR Code 後導向假網站，誘導輸入助記詞

Dmitry Smilyanets 回報，信件中的 QR Code 會將收件人導向外觀仿造官方設定頁面的惡意網站，要求輸入錢包助記詞以完成所謂的「安全驗證」。一旦助記詞被輸入，資料便會透過後端 API 傳送至攻擊者手中，使其得以在其他裝置匯入錢包並轉移資產。

Trezor、Ledger 官方一再強調，官方從未、也不會透過網站、電子郵件或實體信件要求用戶提供助記詞。助記詞一旦外洩，就等同於將錢包控制權交出。

攻擊源頭：Ledger 過往個資外洩成鎖定名單

這種實體信件詐騙之所以能精準寄達，與過去數年的資料外洩事件有關。Ledger 曾於 2020 年因電商合作夥伴 Shopify 資安事件，導致數十萬名客戶姓名與實體地址曝光；2023 年 Ledger Connect Kit 也發生過供應鏈攻擊。2024 年初，Trezor 也通報有 66,000 名用戶聯絡資料不慎遭到外流。

就在上個月，Ledger 才剛因第三方支付服務商 Global-e 遭駭，導致用戶姓名與聯絡方式外洩，雖官方堅稱未涉及私鑰與支付資訊，但仍可能成為釣魚攻擊的材料。即便錢包裝置本體安全無虞，用戶個資一旦外流，仍可能遭到反覆利用。

(Ledger 第三方支付商 Global-e 爆個資外洩，官方回應「錢包本體安全無虞」)

詐騙手法演進：從電子郵件走向實體社交工程

觀察近年攻擊趨勢，釣魚手法正從電子郵件、假冒客服訊息，進一步延伸至偽造 App、甚至寄送假硬體裝置與實體信件。實體郵件能降低用戶戒心，特別是在信件設計高度擬真情況下，更容易混淆視聽。層出不窮的攻擊更反映出加密產業在資料保護與第三方依賴上的風險。

Dmitry Smilyanets 提醒，對用戶而言，最重要的防線仍是基本原則：「任何情況下都不要向任何人透露助記詞。」在資安事件層出不窮的背景下，如何提升用戶警覺與供應鏈安全，將持續成為產業面臨的重要課題。

這篇文章 冷錢包當心！Trezor、Ledger 用戶接連收到含釣魚 QR Code 的實體信件 最早出現於 鏈新聞 ABMedia。