Blockstream提醒其Jade硬體錢包用戶警惕正在進行的電子郵件網路釣魚活動,該活動試圖竊取加密貨幣和敏感信息,促使人們提高對複雜騙局的警惕性。

執行摘要

Blockstream,一家著名的比特幣基礎設施公司和Jade硬體錢包提供商,已發布關於正在進行的電子郵件網路釣魚活動的嚴重警告。這些攻擊針對Jade用戶,旨在通過欺詐性韌體更新來竊取敏感信息和加密貨幣持有。Blockstream已澄清,它從不通過電子郵件分發韌體,並確認截至其公告,沒有任何用戶數據被洩露。

事件詳情

攻擊者正在散佈冒充Blockstream安全團隊的虛假電子郵件,敦促Jade硬體錢包用戶下載惡意韌體更新。這些電子郵件包含欺騙性連結,如果點擊,可能導致加密貨幣或個人數據被盜。Blockstream明確表示,官方韌體更新僅通過其GitHub儲存庫和經過驗證的網站分發,絕不通過電子郵件。該公司強調驗證URL、收藏官方網站以及避免基於電子郵件的連結的重要性。儘管網路釣魚嘗試性質複雜,但Blockstream已確認沒有Jade設備在此類攻擊中受損,這強化了設備本身的安全性,同時也突顯了通過社會工程學手段利用人類信任的脆弱性。

市場影響

Blockstream的網路釣魚警報凸顯了Web3生態系統加密貨幣詐騙的更廣泛、不斷升級的趨勢。此類活動利用社會工程學策略來利用用戶,通常模仿合法通信。根據Scam Sniffer的數據,僅在2025年8月,網路釣魚詐騙就從超過15,000名加密投資者手中竊取了1200萬美元,比7月增加了67%。此外,Hacken估計2025年上半年因詐騙和駭客攻擊造成的加密損失總額為31億美元,已超過2024年全年的總額,CertiK報告為18億美元。重大事件,例如4月份3.05億美元的Orbit橋接器攻擊和6月份從Kraken質押系統竊取的1.1億美元,都說明了巨大的經濟影響和攻擊日益複雜。這些事件表明,雖然像Jade這樣的硬體錢包旨在離線保護私鑰,但“最薄弱的環節”往往仍然是用戶容易受到精心設計的網路釣魚嘗試的影響。

更廣泛的背景和用戶警惕性

這次網路釣魚活動並非孤立事件;包括LedgerTrezor在內的其他主要硬體錢包製造商今年也面臨過類似問題,即虛假支持電子郵件針對其客戶群。攻擊者經常採用先進技術,例如創建帶有細微域名更改的相似網站,或使用字串相似性算法(例如,Levenshtein距離)創建幾乎相同、欺詐性的錢包地址,以欺騙用戶授權惡意交易。一些攻擊的協調性質,例如涉及廣泛使用的npm包的供應鏈妥協,這些包旨在從加密錢包中竊取敏感信息,進一步凸顯了普遍存在的威脅格局。Blockstream建議用戶保持高度警惕,假定任何未經請求的更新或支持消息都是潛在的攻擊向量,並通過官方、獨立確認的渠道驗證所有信息,以保護其數位資產