小心！骗子知道你的订单信息，还可能上门威胁

第二层：高精度社会工程攻击

社会工程攻击（Social Engineering Attack）是一种通过心理操纵手段骗取目标信任的攻击方式。当攻击者同时掌握用户全名、收货地址与订单详情时，伪装身份的可信度呈指数级提升。此类攻击的典型特征包括：

Ledger 官方已就此发出明确警告：Ledger 不会主动寄送实物包裹，不会要求用户扫描二维码或访问特定网站，更不会以任何理由索取 24 位助记词。

第三层：扳手攻击的物理威胁

扳手攻击（Wrench Attack）是指攻击者放弃技术入侵手段，转而通过暴力或人身胁迫迫使目标交出加密资产的行为。该术语源自一则网络漫画的隐喻：无论加密算法多么坚固，一把五美元的扳手即可迫使持有者交出密码。

当家庭住址与加密资产持有信息同时暴露，持有者便面临直接的人身安全风险。Jameson Lopp 是Casa的联合创始人兼首席安全官，自 2014 年起持续追踪全球范围内针对加密货币持有者的物理攻击事件。根据其维护的公开数据库记录，2025 年全球已记录约 70 起扳手攻击事件，较 2024 年的约 41 起增长约 70%。TRM Labs全球政策与政府事务主管 Ari Redbord 指出，2025 年是扳手攻击的破纪录之年，且实际发生数量远高于记录在案的数字。

进入 2026 年，物理攻击态势进一步恶化。区块链安全公司 CertiK 于 2026 年 2 月发布的报告显示，2025 年全球确认的扳手攻击事件达 72 起，较上年增长 75%，造成超过 4,090 万美元的损失。欧洲占全球攻击事件的 40% 以上，其中法国以 19 起位居首位。截至 2026 年 2 月上旬，Lopp 的数据库已记录该年度 11 起攻击事件，分布于法国、比利时与菲律宾等地。

（来源：CoinDesk，Crypto crime is getting violent: wrench attacks jumped 75% in 2026，发布：2026-02-02）

近年加密货币领域物理攻击典型事件

2024 年 4 月 — 加拿大不列颠哥伦比亚省入室抢劫案：四名劫匪伪装成加拿大邮政快递员，闯入穆迪港一户家庭，将一家三口（包括一名 18 岁女儿）扣押长达 13 小时。期间，劫匪对受害者实施水刑、殴打及性侵等暴行，最终转走价值约 200 万美元的比特币。据法庭文件披露，受害人此前曾在华人社区中公开谈论加密货币投资获利的经历，这一信息被犯罪者获取后成为其被选为目标的关键因素。参与者之一 Tsz Wing Boaz Chan 于 2025 年 11 月被判处七年监禁。（来源：CBC News，发布：2025-11-21）

2025 年 1 月 — Ledger 联合创始人绑架案：Ledger 联合创始人 David Balland 及其妻子在法国维耶尔宗的家中被绑架，并被分别转移至两处不同地点扣押。绑架者向 Ledger 另一位联合创始人索要加密货币赎金，并切断 Balland 一根手指，将视频发送给其同事以施压。法国精英战术部队GIGN在 48 小时内成功解救二人。10 名嫌疑人被逮捕，已支付的赎金中 95% 被冻结并追回。（来源：CoinDesk，发布：2025-01-24）

2026 年 2 月 — 美国亚利桑那州未成年人持枪入室案：两名来自加利福尼亚州的高中生驾车超过 600 英里前往亚利桑那州斯科茨代尔，伪装成快递员入侵一户家庭一起看，试图抢夺价值 6,600 万美元的加密资产。据报道，两人通过加密通信应用 Signal 被匿名人士以代号Red和8招募并胁迫执行此次犯罪。该案件是 Lopp 数据库记录的 2026 年美国境内首起扳手攻击事件。（来源：The Block一起看博客，发布：2026-02-08）

数据泄露与扳手攻击、社会工程攻击、网络钓鱼的核心区别加密货币用户面临的四类安全威胁对比对比维度数据泄露扳手攻击社会工程攻击

攻击方式

未经授权访问数据库获取用户信息

通过物理暴力或胁迫迫使目标交出资产

通过心理操纵骗取信任后窃取凭证

攻击目标

大规模获取用户个人信息

直接获取私钥或迫使链上转账

诱导目标主动泄露助记词或授权交易

对受害者的影响

个人隐私暴露，为后续攻击提供素材

人身安全受到直接威胁，资产被强制转移

因信任被利用而导致资产自愿转出

主要防御措施

最小化数据采集、加密存储、访问控制

物理安全防护、隐私保护、多签钱包

多渠道交叉验证、安全意识教育

Ledger 历史上的三次第三方数据泄露事件

回顾 Ledger 的安全事件历史，第三方合作伙伴引发的数据泄露并非孤例，而是一个反复出现的结构性问题。以下为三次主要事件的概述：

2020 年：Shopify 合作伙伴泄露

2020 年中期，Ledger 的电商服务供应商 Shopify 的内部员工违规导出客户交易记录。事件最终影响约 272,000 名用户的姓名、邮寄地址和电话号码被泄露，数据随后被发布在黑客论坛上。此次泄露引发了持续数年的大规模钓鱼攻击，针对受影响用户的欺诈邮件和短信至今仍时有出现。一项集体诉讼随后被提起，指控 Ledger 和 Shopify 在数据保护方面存在疏忽。