2025 年 1 月,法國當局在綁匪索要大量加密貨幣贖金後,解救了 Ledger 聯合創辦人 David Balland。該案件展示了當加密犯罪走出螢幕、演變為現實中的人質事件時,可能呈現出的樣貌。
事實上,與加密貨幣相關的糾紛和竊盜正越來越多地與現實世界中的暴力行為掛鉤,包括綁架未遂以及透過勒索強迫受害者交出存取權限的計畫。
這正是“扳手攻擊”的邏輯所在。犯罪分子不再試圖入侵錢包,而是透過威脅或暴力,迫使持有人自行解鎖錢包或發起轉帳。
儘管在數量上,詐騙和駭客攻擊仍占主導,但一些最暴力的事件正越來越多地涉及脅迫行為。那麼,為什麼這種情況會在當下發生,並且為何正在加速?
什麼是扳手攻擊?
扳手攻擊是一種發生在現實世界中的犯罪行為,攻擊者透過威脅或暴力,迫使加密貨幣持有人交出存取權限,例如洩露憑證、解鎖裝置或授權轉帳。
簡而言之,這是一種透過攻擊“人”而不是攻擊“加密技術”來獲取加密貨幣的方式。
這一說法源自一則廣為人知的 Xkcd 漫畫。當加密技術足夠強大時,最直接的捷徑就變成了脅迫,比如用扳手打人。這個術語之所以流行,是因為它精確地概括了此類事件為何讓人感覺與大多數加密竊盜截然不同:攻擊者不需要技術漏洞,只需要接近目標,並掌握對其日常生活施壓的手段。
你知道嗎?“扳手攻擊”這一術語通常被認為源自 Xkcd 的第 538 號漫畫《Security》。這則漫畫調侃道,當一台筆記型電腦被強加密保護時,攻擊者可能會放棄破解數學難題,轉而依靠脅迫手段——臭名昭著的“5 美元扳手”捷徑。
扳手攻擊真的在增加,還是只是受到更多關注?
簡短的答案是:兩種情況可能同時成立,而數據需要謹慎解讀。
Dragonfly 的 Haseeb Qureshi 在分析 Jameson Lopp 的事件紀錄後指出,被報告的扳手攻擊數量隨著時間推移有所上升,而且近年來單起事件的平均嚴重程度也在提高。
分析還發現了明顯的價格效應。當加密貨幣總市值上升時,被報告的暴力事件往往也會隨之增加。一個簡單的回歸模型顯示,攻擊頻率變化中大約有 45% 可由市場總市值來解釋。
但有兩個重要前提需要注意。第一,Lopp 的資料庫本身就明確並不全面,它基於公開報導構建,因此無法涵蓋那些從未進入新聞視野的案件。
第二,關於扳手攻擊的學術研究指出,系統性漏報現象普遍存在,包括受害者因擔心再次遭到傷害而選擇保持沉默。
這正是 Qureshi 提出的“歸一化”觀點之所以重要的原因。以每位用戶來衡量,被報告的風險可能反而低於此前的週期,儘管新聞標題看起來更加駭人。
為什麼扳手攻擊成為加密領域最暴力的犯罪之一
扳手攻擊的出現,源於幾個因素的疊加:快速且不可逆的支付方式、可被直接觸及的財富日益集中、現實世界中更容易鎖定目標,以及資料外洩將線上加密身分轉化為線下風險。
動因一:收益來得快、可攜帶且難以追回
在加密貨幣體系中,攻擊者無需倒賣贓物或清洗被盜的銀行卡資訊。只要能夠迫使對方發起轉帳,價值就可以迅速、跨境地轉移,這也解釋了為何對犯罪分子而言,脅迫手段顯得相對更具吸引力。
動因二:更多人持有可被觸及的財富
隨著價格上漲,同樣的持倉規模會變成更大的目標。事件發生頻率與加密市場總市值同步變化,也表明價格對暴力犯罪具有顯著的拉動效應。
動因三:鎖定目標並沒有想像中那麼難
公開露面的加密從業角色、線下聚會、點對點(P2P)交易,以及日常過度分享個人資訊,都可能為攻擊者提供現實世界中的切入點。劍橋大學的研究人員將這類事件描述為:透過把壓力轉移到持有人身上,從而繞過數位安全規範的攻擊。
動因四:資料外洩讓線上身分轉化為線下風險
近期的多起事件凸顯了姓名、地址和電話號碼如何透過第三方或內部人員濫用而外洩。從 Coinbase 支援人員受賄案,到 Ledger 相關的客戶資料外洩,這些情況在某些場景下都讓個人與加密活動之間的關聯更容易被建立。
這些攻擊通常如何發生
其模式往往類似一套犯罪腳本:先是鎖定目標並接近,隨後實施脅迫,一旦獲得存取權限,資金便迅速被轉移。
最初的接觸可能看起來與傳統街頭犯罪相似,例如搶劫或入室侵害,也可能是更有組織性的脅迫行為。受害者並不總是隨機的陌生人。
在某些情況下,扳手攻擊還會與家庭或人際關係中的虐待行為交織在一起,加密資產的存取權被用作控制他人的工具。
你知道嗎?Roman Novak 和 Anna Novak 是一對居住在杜拜的俄羅斯夫婦。2025 年 10 月,兩人在被誘騙前往阿曼邊境附近、靠近哈塔(Hatta)的地點,與所謂的投資者會面後失蹤。調查人員隨後將該案視為一起綁架事件,動機與強迫獲取資金(包括加密貨幣)有關。這起案件被認為是最廣為引用的現實世界“扳手攻擊”案例之一,並造成了致命後果。
誰的風險最高?
扳手攻擊很少隨機針對普通的加密用戶。
這類攻擊往往更集中在那些容易被識別、容易被定位、且被認為持有大量、可快速動用資產的人身上,包括創辦人和高階主管、經常公開露面的意見領袖、場外(OTC)或點對點(P2P)交易者,以及任何其線上足跡能夠將真實身分與可觀加密財富聯繫起來的人。
地理位置同樣重要。西歐和亞太地區部分國家報告的事件增幅最為明顯,而北美相對更安全一些,儘管案件的絕對數量仍在上升。
此外,被針對的不一定只是資產的直接持有人。法國近期的一些案例顯示,犯罪分子有時會轉而鎖定親屬或伴侶,在難以接觸到錢包所有者本人時,利用家庭關係作為施壓槓桿。
如何降低風險
扳手攻擊帶來的一個殘酷教訓是:即便金鑰管理再強,也無法自動消除所有風險。它或許能讓線上竊盜變得更困難,卻把“最後一公里”的風險暴露出來——也就是你本人、你的生活規律以及你的個人資料。
對大多數人而言,現實目標是讓自己成為“不值得下手的目標”,並減少攻擊者能夠迅速獲取的資產規模。這通常可以歸結為三個方面:
降低可見度:避免公開炫耀持倉,弱化真實身分與加密活動之間的聯繫,並預設過度分享會顯著提高風險。
降低即時可用餘額:將日常開支與長期存儲分離,避免大額資產存在單點失效風險,例如採用多方審批或時間延遲機制。
將冒充客服視為同一威脅環境的一部分:犯罪分子可能利用外洩的資料,施壓受害者轉移資金。Coinbase 的官方指引明確指出,正規的客服不會索要密碼、雙重驗證(2FA)代碼,也不會要求將資金轉入所謂的“安全地址”。
如果威脅真的發生,首要任務永遠是人身安全並及時求助,而不是保護錢包。這正是扳手攻擊成為當今加密犯罪中最鋒利邊緣之一的原因:它把數位財富轉化為現實的人身安全風險,迫使整個產業的安全討論從瀏覽器裡,走向現實世界。