顺丰包裹里藏的三层东西
北京加密大户 Z 在 2024 年 9 月 15 日被一台「Trezor Hong Kong」顺丰快递的 Trezor Safe 3 骗走 78 ETH。表面是一个顺丰包裹,里面是三层不同维度的诱导叠加。把这三层拆开看,下次类似包裹到你手时你能秒识别。
第一层壳 · 物理实物的「实体感」
钓鱼链接、钓鱼网站、钓鱼 DM —— 都是数字信号,用户在 2024 年已经多多少少有警觉。物理包裹是一个截然不同的攻击向量:它有重量、有外包装、有 logo 烫金、有快递单号、有顺丰小哥送上门时的真实交接。「这玩意儿能用真快递寄到我家来,应该不是骗子吧」是普通人下意识的推论。
但寄一个顺丰快递的成本对攻击者来说几十美元。对单个 78 ETH 的回报极其划算。攻击者从 etherscan / dune 上扒高净值地址、通过 OSINT(ENS 持有人公开的 Twitter、过往工作 LinkedIn、域名 WHOIS)找到对应物理地址。第一层壳的目的就是让你「降低对盒子里东西的警惕」。
第二层壳 · 「特例感」的情感诱导
盒子里那张烫金卡片是核心:「Dear early supporter, thank you for being part of our community. Enjoy this complimentary device. — Trezor Team」。Z 收到后没立即用,先在 ENS 群里问了 —— 群里大家都说「Trezor 不会做这种活动」。但 Z 还是用了,因为他想「也许我恰巧被选中了」。
这就是「特例感」攻击。攻击者不需要说服你「这是 Trezor 官方活动」,攻击者只需要在你心里种下「也许我是被选中那个特殊用户」的可能性。OG / early supporter / loyalty reward 这套话术专门戳这个心理 —— 对在加密圈混了几年、有点贡献感的人尤其有效。
第三层壳 · TRNG 后门固件
最里层是技术攻击。Trezor 这类硬件钱包的真随机数生成(TRNG)依赖芯片内的熵源。被篡改的固件可以伪装成产生随机数但实际从攻击者预置的 seed 池里挑。Z 创建钱包那一刻设备屏幕显示「正在生成随机 24 词」、看起来正常 —— 但生成出来的 24 词其实来自攻击者已知的一组预生成钱包。Z 用任何工具事后都查不出,因为生成行为本身从用户视角看不出区别。
这一层壳是用户单独防不住的 —— 你能做的只是不让设备进到这一层。前两层壳挡住即可:包裹拒收 / 设备直接物理销毁。
三层壳的对应识别清单:
- 收到任何你没下单的硬件钱包包裹 —— 100% 不能用,硬件钱包品牌不主动寄礼物(穿透第一层壳)
- 卡片说 early supporter / community gift / loyalty reward —— 真品牌的免费寄送通常通过明确的活动 + 你自己填表(穿透第二层壳)
- 寄件人地址是香港 / 新加坡某个 freight forwarder —— 而不是品牌总部
- 你的 ENS / Lens 名公开过 —— 默认假设你是攻击目标
- 包装看起来过分新 —— 真硬件钱包从工厂到你手上有运输痕迹
真要参加官方活动的话流程一定是这三步:你主动填表 → 收到官方邮件确认 → 几周后收到带订单号的物流单。任何不经过这三步就出现在你家的包裹都是假。
如果已经用了这台设备:立即按《私钥泄露应急 · 五步抢救流程》全套:买全新硬件钱包从官方店(Ledger / Trezor / Keystone / OneKey 官网直发,不通过经销商)、转出所有资产、物理销毁旧设备(剪断电池 + 物理打碎)。
这个案例的真正用法不是看完点个收藏,而是把识别要点那几条记进脑子里。下次类似场景出现时,让你 3 秒内识破。