那个我以为最安全的选择
2024 年 8 月 3 日中午(这一段是 Allen 后来给我讲的全过程,他同意公开警示其他出差者),我在迪拜出差,下楼吃饭前把 Ledger Nano X 放进酒店房间的保险柜,输了个 4 位密码。我心想 47 万美元的冷钱包锁在五星酒店保险柜,应该比挂腰间安全。出门 3 小时。
回房后保险柜外观完好、Ledger 在原位、PIN 还能解锁、Ledger Live 显示余额没变。一切看起来正常。我当时甚至没多看一眼,洗个澡就睡了。
那一秒压下去的念头
其实我犹豫过。出门前我看着保险柜门关好那一刻有个念头闪过:「酒店员工是不是知道 master code?」 这个念头我压下去了,因为「五星酒店有保密制度」、「我把密码设得很复杂」、「就 3 小时而已」。这三条理由都不假,但叠加起来仍然是错的。多数酒店保险柜的主密码(master code)酒店员工都知道,因为客人忘密码时要能开 —— 这是行业普遍做法,跟酒店星级无关。
那一秒我应该听自己的犹豫。但我太自信、太赶时间、太相信「物理上锁住 = 安全」。如果时间倒回那一刻,正确的动作是 Ledger 跟我一起下楼,吃饭时放在我口袋。重不到 50 克,没那么麻烦。
两周后才看到的账单
两周后我钱包里 47 万美元分多次被转走。我委托当地链上分析公司复盘、酒店调监控、把 Ledger 寄给硬件安全实验室拆解。结果:午饭那 3 小时房间有两次房务人员进入,第二次时间 28 分钟;我的 Ledger 内部被焊上了一颗微型存储 + 蓝牙模块,每次我输入 PIN 都被记录、每次新币入账就触发蓝牙回传 PIN + 当前 derivation path。设备 Reset 也无法清除,已经是物理层的改装。
这件事最让我难受的不是 47 万。是它发生在我做了「最稳妥」的选择之后 —— 我没把 Ledger 放包里、没放抽屉、没放枕头下,我放在保险柜里。如果你是「重视安全」的人但安全直觉建立在物理常识(锁、保险柜、家)上,这案值得你重读三遍。
能给同类出差用户的硬规则:
- 硬件钱包从你视线消失超过 5 分钟 —— 任何时长都不安全但越长越糟
- 设备外壳螺丝有新划痕 / 拆开痕迹 —— 用紫外灯或微距相机可看
- 设备充电时间明显延长 / 电池续航缩短 —— 多了一颗模块在耗电
- 设备 BLE 广播信号能被附近其他设备扫到(在 Settings / About 里关 BLE 看是否还有信号)
- 你曾在公开场合(酒店、机场休息室、咖啡馆)让设备脱离视线
Evil Maid 攻击的术语来自笔记本电脑加密领域 —— 攻击者趁你不在短暂接触你的设备做改装,下次你输 PIN / 密码就被记录。硬件钱包版本是把存储 + 蓝牙模块焊到设备主板。酒店、机场、合租公寓、办公室共享空间是高发场景。防御几乎全靠物理隔离 —— 大额资产钱包随身携带、用能感应外力的封口(如易碎封条)封装、隔三差五用紫外灯检查外壳。听起来夸张但对于持仓百万美元以上的用户是合理的。或者干脆把 24 词分散保管,硬件钱包本身可丢可坏 —— 真正的安全是私钥不在任何一台单一设备里。
硬件钱包脱离你超过 5 分钟的话假定已被植入。按《私钥泄露应急 · 五步抢救流程》全套:买全新硬件钱包从官方店发货、转出资产、销毁旧设备(剪断电池 + 物理打碎)。酒店类场景事后立即调监控、报警立案,运气好能查到房务人员身份给后续追回提供线索。
这个案例的真正用法不是看完点个收藏,而是把识别要点那几条记进脑子里。下次类似场景出现时,让你 3 秒内识破。