诈骗者邮寄带二维码的 Trezor/ Ledger 伪装信件以窃取助记词

一项有组织的钓鱼活动通过高仿真纸质邮寄物冒充硬件钱包厂商 Trezor 与 Ledger，诱导用户交出助记词。诈骗信件包括仿官方的信头、全息图、伪造签名和二维码，指向克隆的“身份验证”或验证网站。信中声称强制性安全更新或限时“认证/交易检查”，制造紧迫感促使收件人扫码并输入 12/18/24 字助记词——这是厂商绝不会要求的资料。研究人员已在社交平台披露示例；攻击者很可能利用了历史数据泄露（Ledger 的 2020 年事件及合作伙伴泄露，Trezor 的 MailChimp/支持门户泄露），获取电子邮件、邮寄地址、电话号码和设备所有权证明。此类攻击标志着从仅邮件钓鱼向更高可信度的多渠道社工升级（纸质邮件、短信、伪装应用），能绕过邮件过滤并利用二维码掩盖恶意 URL。给交易者与硬件钱包持有者的防御建议：绝不在网站或应用输入助记词；通过厂商官网核实任何通知；不要扫码来源不明的二维码；启用并使用可选的额外口令（passphrase）；并关注官方安全通告。市场相关性：该威胁主要针对用户层面（钱包被掏空），并非协议层漏洞。但若社工盗窃持续成功，可能侵蚀零售信心、增加被窃资产的抛售压力，并在短期内提升相关代币波动性。主要关键词：硬件钱包钓鱼、Trezor、Ledger、助记词、二维码诈骗。次要关键词：硬件钱包安全、数据泄露、恢复种子、加密钓鱼、钱包安全。