作者:慢霧科技
背景
在區塊鏈黑暗森林中,我們常談論鏈上攻擊、合約漏洞、黑客入侵,但越來越多案例提醒我們風險已蔓延至鏈下。
據Decrypt 與 Eesti Ekspress 報道,在近期一場庭審中,加密億萬富翁、企業家 Tim Heath 回顧了自己去年遭遇的一起綁架未遂案。攻擊者通過 GPS 追蹤、僞造護照與一次性手機掌握其行蹤,趁其上樓之際從背後發起襲擊,企圖用袋子套住他頭部並強行控制。Heath 咬掉對方一截手指後才得以脫身。
隨着加密資產價值不斷攀升,針對加密用戶的扳手攻擊愈發頻繁。本文將深入解析這類攻擊手法,回顧典型案例,梳理背後的犯罪鏈條,並提出切實可行的防範與應對建議。
(https://www.binance.com/en/blog/security/binance-physical-security-team-on-how-to-avoid-the-threat-of-reallife-attacks-634293446955246772)
什麼是扳手攻擊
“你可以有最強的技術保護,但攻擊者只需要一把扳手,把你打趴下,你就會乖乖說出密碼。”5 美元扳手攻擊($5 Wrench Attack)這一表達最早出現在網絡漫畫 XKCD 中,攻擊者不使用技術手段,而是通過威脅、勒索甚至綁架等方式,迫使受害者交出密碼或資產。
(https://xkcd.com/538/)
典型綁架案回顧
今年以來,針對加密用戶的綁架案件頻發,受害者涵蓋項目方核心成員、KOL 乃至普通用戶。5 月初,法國警方成功解救了一位被綁架的加密貨幣富豪的父親。綁匪索要數百萬歐元贖金並殘忍切斷其手指,以施壓家屬。
類似案件早在年初就已出現:1 月,Ledger 聯合創始人 David Balland 及其妻子在家中遭到武裝襲擊,綁匪同樣砍斷其手指並拍攝視頻,要求支付 100 枚比特幣。6 月初,一名擁有法國與摩洛哥雙重國籍的男子 Badiss Mohamed Amide Bajjou 在丹吉爾落網,據 Barrons 報道,其涉嫌策劃多起法國加密貨幣企業家綁架案。法國司法部長證實,該嫌疑人因“綁架、非法拘禁人質”等罪名被國際刑警通緝。而且,Bajjou 被懷疑是 Ledger 聯合創始人綁架案的主謀之一。
另一起震驚業界的案件發生在紐約。意大利籍加密投資者Michael Valentino Teofrasto Carturan 被誘騙至一處別墅,遭到長達三週的囚禁和折磨。犯罪團伙利用電鋸、電擊裝置和毒品實施威脅,甚至將他懸掛在高樓頂層,逼迫其交出錢包私鑰。行兇者是“業內人士”,通過鏈上分析和社交媒體跟蹤,精準鎖定目標。
5 月中,Paymium 聯合創始人 Pierre Noizat 的女兒和年幼孫子在巴黎街頭險些被強行拖入一輛白色貨車。據(巴黎人報)報道,Noizat 的女兒激烈反抗,一名路人用滅火器砸向貨車,迫使綁匪逃離。
這些案件表明:相較於鏈上攻擊,線下暴力威脅更爲直接、高效,且門檻更低。攻擊者多爲年輕人,年齡集中在16 至 23 歲之間,具備基本的加密認知。據法國檢方公佈的數據,已有多名未成年人因涉入此類案件被正式起訴。
除了公開報道的案件,慢霧安全團隊在整理受害者提交的表單信息時,也注意到部分用戶在線下交易時遭遇對方控制或脅迫,導致資產受損。
此外,還有一些並未升級爲肢體暴力的“非暴力脅迫”事件。例如攻擊者通過掌握受害者的隱私、行蹤或其他把柄進行威脅,逼迫其轉賬。這類情況雖然未造成直接傷害,卻已觸及人身威脅邊界,是否屬於“扳手攻擊”的範疇,仍值得進一步討論。
需要強調的是,已披露的案例可能只是冰山一角。許多受害者因擔心報復、執法機構不受理或身份暴露等原因,選擇沉默,這也讓鏈下攻擊的真實規模難以準確評估。
犯罪鏈條分析
劍橋大學研究團隊於2024 年發表的論文(Investigating Wrench Attacks: Physical Attacks Targeting Cryptocurrency Users)系統性分析了全球加密用戶遭遇暴力脅迫(扳手攻擊)的案例,深入揭示了攻擊模式與防禦難點。下圖爲論文中的原圖譯版,供參考,原圖見 https://www.repository.cam.ac.uk/items/d988e10f-b751-408a-a79e-54f2518b3e70。
綜合多起典型案件,我們總結出扳手攻擊的犯罪鏈條大致涵蓋以下幾個關鍵環節:
1. 信息鎖定
攻擊者通常從鏈上信息入手,結合交易行爲、標籤數據、NFT 持有情況等,初步評估目標資產規模。與此同時,Telegram 羣聊、X(推特)發言、KOL 訪談,甚至部分泄露的數據也成爲重要輔助情報來源。
2. 現實定位與接觸
確定目標身份後,攻擊者會嘗試獲取其現實身份信息,包括居住地、常去地點及家庭結構。常見手段包括:
在社交平臺誘導目標泄露信息;
利用公開登記資料(如ENS 綁定郵箱、域名註冊信息)反查;
使用泄露的數據進行反向搜索;
通過跟蹤或虛假邀約將目標引入控制環境。
3. 暴力威脅與勒索
一旦控制目標,攻擊者往往採用暴力手段,迫使其交出錢包私鑰、助記詞及二次驗證權限,常見方式包括:
毆打、電擊、斷肢等身體傷害;
脅迫受害者操作轉賬;
恐嚇親屬,要求家屬代爲轉賬。
4. 洗錢與資金轉移
獲得私鑰或助記詞後,攻擊者通常迅速轉移資產,手段包括:
使用混幣器掩蓋資金來源;
轉入受控地址或不合規的中心化交易所賬戶;
通過OTC 渠道或黑市將資產變現。
部分攻擊者具備區塊鏈技術背景,熟悉鏈上追蹤機制,會故意製造多跳路徑或跨鏈混淆以規避追蹤。
應對措施
使用多籤錢包或分散助記詞等手段,在面對人身威脅的極端場景中並不實用,往往被攻擊者認爲拒絕合作,反而激化暴力行爲。針對扳手攻擊,更穩妥的策略應是“有得給,且損失可控”:
設置誘導錢包:準備一個看似主錢包、但僅存少量資產的賬戶,以便在危險時用於“止損投喂”。
家庭安全管理:家人需掌握資產所在和應對配合的基本知識;設置安全詞,在遇到異常情況時傳遞危險信號;加固家用設備的安全設置和住所的物理安保。
避免身份暴露:避免在社交平臺炫富或曬交易記錄;避免在現實生活中透露持有加密資產;管理好朋友圈信息,防止熟人泄密。最有效的防護,始終是讓人“不知道你是個值得盯上的目標”。
寫在最後
隨着加密行業快速發展,瞭解你的客戶(KYC) 與反洗錢(AML) 制度在提升金融透明度、防控非法資金流動方面發揮着關鍵作用。但在執行過程中,尤其是在數據安全與用戶隱私方面,仍面臨不少挑戰。例如,平臺爲滿足監管要求所收集的大量敏感信息(如身份、生物識別數據等),一旦保護不當,便可能成爲攻擊突破口。
因此,我們建議在傳統KYC 流程基礎上,引入動態風險識別系統,減少不必要的信息收集,以降低數據泄露風險。同時,平臺可接入MistTrack等一站式反洗錢與追蹤平臺,輔助識別潛在的可疑交易,從源頭提升風控能力。另一方面,數據安全能力建設同樣不可或缺,藉助慢霧(SlowMist) 的紅隊測試服務 (https://cn.slowmist.com/service-red-teaming.html),平臺可獲得真實環境下的攻擊模擬支持,全面評估敏感數據的暴露路徑與風險點。
