USB 錢包惡意軟體警告：為什麼離線加密貨幣儲存仍有供應鏈風險

USB 隨身碟仍處於許多「氣隙隔離（air-gapped）」加密貨幣工作流程的核心位置。它們在離線簽署裝置與線上電腦之間傳輸 PSBT 檔案、韌體更新檔以及地址匯出檔案。這種工作流程看似安全——直到 USB 傳輸路徑本身成為攻擊者的高速公路。 最新的研究與事件通報顯示，離線儲存雖能降低風險，卻無法徹底消除風險。惡意軟體可跨越氣隙、您安裝的套件可能暗藏陷阱，甚至硬體供應鏈本身也存在隱憂。本文將新近浮現的 USB 錢包惡意軟體警示，對應至實際可行的資產託管防禦措施。若您使用硬體錢包、氣隙隔離筆電，或將簽署裝置存放於保險庫中，請務必將下文視為一份營運檢查清單，而非危言聳聽的故事。 「離線」是一種連續光譜。具備安全元件（secure element）的硬體錢包、氣隙隔離筆電，或紙本助記詞（paper seed），皆可從方程式中移除網路連線。但價值仍須跨越邊界：韌體需要更新、交易需要簽署、地址需要匯出。在實務上，這類邊界往往正是 USB 隨身碟。 攻擊者鎖定資料傳輸層，因其具有高度可預測性且防護相對薄弱。單一顆遭植入惡意程式的 USB 隨身碟，即可將惡意軟體引入用以準備交易的線上機器，或引入用以顯示地址供人工驗證的離線機器。地址交換型剪貼板劫持程式（address-swapping clippers）更會反向利用受害者的謹慎心態：您小心翼翼地複製一個地址，而惡意軟體卻在您貼上前的一瞬間悄然替換之。若交換發生於線上端，您的離線簽署裝置與助記詞種子（seed）或許仍完好無損，資金卻已轉入攻擊者帳戶。 2026 年 6 月 17 日，微軟威脅情資團隊（Microsoft Threat Intelligence）詳細披露一款 Windows 平台「剪貼板劫持程式（clipper）」，其偵測名稱為 Trojan:Win32/CryptoBandits.A。該惡意程式透過 USB 隨身碟上的惡意 `.lnk` 快捷方式檔案散播；約每 500 毫秒輪詢一次剪貼簿，以竊取私密資訊（含 BIP39 助記詞）；交換已複製的加密貨幣地址（Bitcoin、Tron、Monero）；並透過內建 Tor 客戶端，將竊得資料外洩至 `.onion` 網域的指令與控制（C2）伺服器。 剪貼板劫持程式仰賴人類的模式辨識慣性：長串字元乍看之下極為相似。倘若您未於簽署當下、於可信顯示裝置（如硬體錢包螢幕）上完整核對地址，或攜帶 PSBT 檔案的檔案於傳輸途中已被掉包，則即使未觸及您的助記詞種子（seed），資產仍將遭竊。此惡意軟體藉由 USB 上的 `.lnk` 檔案進行類似蠕蟲（worm-like）的自我擴散，意味著即便您僅將氣隙隔離筆電專用於錢包作業，只要插入受污染媒體，即仍面臨風險。 2026 年 6 月 3 日，Tropic Square 公布，Ledger Donjon 研究團隊成功針對 Trezor Safe 7 所採用的 TROPIC01 安全元件，演示一種雷射故障注入（laser fault-injection）技術。該漏洞公告所賦予的 CVSS 3.1 基礎分數為 5.7，並強調其採用多層次設計，在現實條件下仍可確保使用者資金安全。 2026 年 5 月下旬，資安公司 Socket 揭露一項名為「TrapDoor」的供應鏈攻擊活動：該活動已在 npm、PyPI 及 Crates.io 平台上植入逾 34 個惡意套件。這些套件偽裝成開發者工具或加密貨幣相關工具，目的在竊取錢包檔案、SSH 金鑰、GitHub 憑證、雲端帳戶憑證以及瀏覽器資料。 [Crypto Daily]