免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

USB钱包恶意软件警告：为何离线加密货币存储仍存在供应链风险

2026-06-23 01:32:30

BTC

TRX

XMR

USB 存储设备仍是许多“气隙”加密货币工作流程的核心

U 盘在离线签名机与在线机器之间传递 PSBT 文件、固件更新和地址导出。这种工作流程看似安全，直到 USB 路径本身成为攻击者的高速公路。

最新的研究和事件报告表明，离线存储能降低风险但无法消除风险。恶意软件可以跨越气隙，你安装的软件包可能被植入后门，甚至硬件供应链也存在隐患。

本文将最新的 USB 钱包恶意软件警告映射到实用的资产保护措施。如果你使用硬件钱包、气隙笔记本电脑或保险库中的签名设备，请将以下内容视为操作清单，而非危言耸听。

要点详情

USB 剪贴板劫持器活跃：微软报告一种通过 USB 恶意 .lnk 文件传播的 Windows 剪贴板劫持器，它会替换钱包地址并窃取 BIP39 助记词；数据通过 Tor 网络外泄至 .onion 服务器。

离线 ≠ 不可触及：气隙签名机依赖可移动介质。传输步骤是一个活跃的攻击面，可能携带恶意软件或替换文件。

硬件供应链存在隐患：Tropic Square 指出 Trezor Safe 7 使用的 TROPIC01 安全元件存在激光故障注入问题，CVSS 评分为 5.7，但声称有多层缓解措施。

开发工具链是热门目标：Socket 的“TrapDoor”活动在 npm/PyPI/Crates.io 上植入了超过 34 个恶意包，用于窃取钱包和凭证。

缓解措施存在：禁用自动运行/自动播放，阻止从可移动驱动器执行 .lnk 文件，限制脚本宿主，并检查本地 9050 端口的 Tor SOCKS 活动。

“离线”的真正含义——以及 USB 如何渗透其中

“离线”是一个光谱。带有安全元件的硬件钱包、气隙笔记本电脑或纸钱包都消除了网络连接。但价值仍然跨越边界：固件更新、交易签名、地址导出。在实践中，这个边界往往是一个 U 盘。

攻击者瞄准传输层，因为它可预测且防御薄弱。一个被植入后门的 U 盘就能将恶意软件引入准备交易的在线机器，或引入用于显示地址供人工验证的离线机器。地址替换劫持器将受害者的谨慎变成武器：你仔细复制地址，恶意软件在粘贴前将其替换。当替换发生在在线端时，你的离线签名机和助记词可能未被攻破，但资金仍会流向攻击者。

新型 USB 剪贴板劫持活动：如何突破你的气隙

微软的发现

2026 年 6 月 17 日，微软威胁情报部门详细描述了一个 Windows 剪贴板劫持器（检测为 Trojan:Win32/CryptoBandits.A）。它通过 USB 驱动器上的恶意 .lnk 快捷方式文件传播，大约每 500 毫秒轮询一次剪贴板以捕获私密材料（包括 BIP39 短语），替换复制的加密货币地址（比特币、波场、门罗币），并通过捆绑的 Tor 客户端将数据外泄至 .onion C2 服务器。

为什么地址替换如此有效

剪贴板劫持器依赖于人类模式识别：长字符串乍一看都一样。如果你不在签名时在可信显示设备（硬件钱包屏幕）上验证完整地址，或者携带 PSBT 的文件在传输中被替换，那么攻击成功而不会触及你的助记词。

如何触及“离线”系统

该恶意软件通过 USB .lnk 进行蠕虫式传播，这意味着即使你用于钱包操作的气隙笔记本电脑，在插入受污染介质时仍面临风险。即使离线机器没有网络，USB 步骤也能篡改你打算签名的文件，或携带等待下次驱动器连接到联网电脑时执行的恶意可执行文件。

真正有效的缓解措施（Windows、macOS、Linux）

Windows 即时加固步骤

禁用可移动介质的自动运行/自动播放。这可以阻止插入时自动执行内容。

通过组策略阻止从可移动驱动器执行 .lnk 文件。策略位置：计算机配置 → 管理模板 → Windows 组件 → 文件资源管理器 → “不要允许 Windows 运行指定的 Windows 应用程序”，或根据情况使用设备安装限制。

使用 AppLocker/WDAC 限制 wscript.exe/cscript.exe 及类似脚本宿主。在资产管理工作站上，限制为仅允许签名脚本，或直接禁止。

检查本地 9050 端口的 Tor SOCKS 活动。示例排查命令：netstat -ano | findstr 9050（Windows），lsof -i :9050（macOS/Linux）。未解释的 9050 监听器是危险信号。

专业建议：为“资产托管模式”机器创建单独的 Windows 本地策略或 WDAC 策略。在此模式下，可移动存储为只读，未签名代码无法执行，脚本宿主被禁用。

跨平台卫生习惯

仅使用全新格式化的专用 U 盘进行钱包操作。绝不与个人或工作文件混用。

优先使用只写一次或物理可切换只读的介质进行单向传输至签名机。

验证每个固件或钱包二进制文件的校验和。将校验和保存在纸上或密码管理器中；离线验证。

维护两个传输路径（例如 QR PSBT + 微 SD 卡）。如果其中一个看起来异常，你有后备方案进行交叉验证。

在在线电脑上部署检测与响应/防病毒软件，并配置可移动介质策略，以及对剪贴板篡改行为的警报。

硬件钱包供应链并非魔法盾牌

安全元件、PIN 码、密码短语、可信显示屏是强大的防御。但它们并非万能，也无法覆盖传输层的操作风险。

2026 年 6 月 3 日，Tropic Square 披露 Ledger Donjon 研究人员演示了针对 Trezor Safe 7 中 TROPIC01 安全元件的激光故障注入技术。该公告给出 CVSS 3.1 基础评分 5.7，并强调分层设计应在现实条件下确保用户资金安全。

给操作者的启示：

威胁模型很重要。激光故障注入通常意味着实验室级别的物理接触攻击者。如果你的风险包括内部人员或国家级威胁，请结合保险柜、摄像头和双人控制来考虑。

固件来源至关重要。仅从签名的、已验证的发布版本更新。在离线机器上验证签名和校验和后再刷写。

供应链基本规则仍然适用。直接从制造商购买，检查包装，从头初始化设备。绝不接受预先助记词的钱包。

利用密码短语或沙米尔秘密共享（如支持）来降低单设备泄露风险。将碎片或密码短语分开存储。

专业建议：将硬件钱包屏幕视为最终真相。如果设备上显示的地址或金额与你预期不符，立即中止——即使你的软件界面看起来正常。

开发者工具链：密钥窃取的隐藏入口

许多操作者在用于钱包准备的同一台笔记本电脑上运行验证器、机器人或分析堆栈。这正是供应链植入潜入的地方。

2026 年 5 月下旬，安全公司 Socket 标记了一个名为“TrapDoor”的供应链活动，该活动在 npm、PyPI 和 Crates.io 上植入了超过 34 个恶意包。这些包伪装成开发者或加密货币工具，旨在窃取钱包文件、SSH 密钥、GitHub 令牌、云凭证和浏览器数据。

隔离你的机器

绝不在资产托管工作站上编译代码、运行包管理器或测试钱包。使用单独的硬件、操作系统镜像和用户账户。

优先使用长期支持版操作系统镜像，并最小化安装包。固定版本；避免随意的“curl | bash”安装程序。

尽可能使用可重现构建，并验证钱包软件的供应商 PGP 签名。

在托管机器上禁用浏览器扩展。扩展是常见的密钥窃取途径。

比“U 盘上的文件”更安全的传输模式

你可以通过选择单向或可在边缘人工验证的传输方法来减少对通用 USB 存储的依赖。

传输方法主要攻击面何时使用基于 QR 的 PSBT摄像头欺骗、主机 UI 篡改许多硬件钱包的绝佳默认方案；无需大容量存储设备。微 SD 卡（专用、只读）可写时文件替换；卡/读卡器的供应链适用于 QR 不可行时的固件和 PSBT；尽可能锁定为只读。 NFC 签名（设备特定）无线电范围攻击、读卡器欺骗适用于小量传输；仍要仔细验证设备提示。 USB 大容量存储自动运行、快捷方式执行、文件替换仅在严格策略下使用（无自动运行、只读介质、校验和）。对于转出资金，始终在签名器屏幕上批准地址和金额。这能击败主机电脑上的剪贴板劫持器。

对于转入地址，在硬件钱包屏幕上显示并验证接收地址，而不仅仅是软件钱包。

对于固件，传输两个文件：固件及其分离的签名/校验和。在刷写前离线验证。

尽量减少工作流程中的信任边界数量。每多一根线缆、卡或应用程序，都是篡改的机会。

验证习惯：签名前和发送后

签名前

派生路径检查：确认设备上显示的路径（例如 BIP44/49/84/86）符合你的策略。

金额和手续费合理性：异常值是一个信号。如果手续费在当前内存池中看起来不对劲，暂停。

地址朗读：在双人控制时大声读出地址的前 6–8 个字符。人类在说话时更容易发现替换。

带外确认：通过第二渠道将目标地址分享给收款方；先确认一笔小额测试交易。

发送后

独立浏览器检查：使用两个不同的区块浏览器确认目标地址和金额。

监控剪贴板滥用：某些劫持器会持续活动。保持端点检测与响应开启，并在可能时查看剪贴板访问日志。

事后清理：如果检测到地址替换，轮换钱包描述符，尽可能更改 xpub，并检查助记词是否可能泄露。

专业建议：保留一份包含校验和的高价值交易对手“地址簿”打印版。在进行大额转账前，将设备上的地址与打印记录进行比对。

（摘录自 6 月 17 日微软博客，显示了恶意软件使用的 PowerShell Add-MpPreference 排除命令，以将其暂存文件夹从 Defender 扫描中排除——这是 USB 剪贴板劫持器规避检测并持久化的具体证据。）

构建能抵御供应链风险的资产托管行动手册

供应链风险涵盖硬件、软件和人员。一个具有弹性的行动手册应分层控制，使一个坏链接不会级联为损失。

硬件钱包控制：PIN 码、密码短语、设备认证（如可用），以及定期完整性检查。如果合适，将备份存储在不同的司法管辖区。

工作站加固：日常使用无管理员权限，限制可移动介质，应用程序白名单，全盘加密及强恢复流程。

流程分离：地址簿更改和超过阈值的提款需双人批准；应急密钥与日常支出密钥分开。

环境分离：开发、运营和托管使用不同的机器和账户。托管终端上无包管理器。

事件演练：模拟地址替换事件和疑似助记词泄露事件。练习钱包轮换和收款方通知。

在日志和磁盘中需要追踪什么

如果你怀疑有剪贴板劫持器或 USB 传播的恶意软件，迅速但有条理地行动。在重新镜像前保留证据。

剪贴板轮询：异常进程频繁读取剪贴板，尤其是伴随 GUI 自动化库的进程。

Tor 痕迹：绑定到 127.0.0.1:9050 的进程，或在临时文件夹中携带 Tor 二进制文件。

USB 快捷方式：可移动驱动器根目录下的隐藏 .lnk 文件，或 autorun.inf 残留。

浏览器扩展：最近添加的具有剪贴板或文件系统权限的扩展。

钱包文件异常：最近修改的钱包数据库，钱包目录中的未签名二进制文件，或校验和清单变更。

专业建议：排查后，即使未确认助记词泄露，也要轮换操作密钥。劫持器可能留下后门用于日后盗窃。

常见问题

USB 剪贴板劫持器能直接从硬件钱包窃取资金吗？

不能直接窃取，前提是你在设备屏幕上验证交易并拒绝不匹配。劫持器通常替换地址或在主机电脑上捕获助记词。硬件钱包的可信显示屏是你的最后防线——请使用它。

禁用自动运行能完全阻止 USB 传播的恶意软件吗？

它显著减少了自动执行的风险，但并非万全之策。应结合阻止从可移动驱动器执行 .lnk、限制脚本宿主、强制执行白名单以及使用专用介质（如微软推荐）。

激光故障注入问题是否应该放弃该设备？

这取决于你的威胁模型。TROPIC01 公告引用了分层缓解措施和中等 CVSS 评分。如果攻击者具备熟练的物理接触能力，请增加物理安全和双人控制，而非仅依赖单一设备。

如何避免像 TrapDoor 这样的恶意包？

不要在托管机器上安装开发包。在开发主机上，固定版本、验证签名，并优先使用可重现构建。对任何新包保持怀疑，并审查维护者历史。

QR PSBT 比 USB 更安全吗？

QR PSBT 消除了大容量存储风险，并减少了文件替换机会。它们并非不可攻破——主机 UI 篡改和摄像头欺骗仍然存在——但它们缩小了攻击面，并将签名逻辑保留在设备上。

小规模资金池的最低可行配置是什么？

一个带密码短语的硬件钱包，一台用于地址检查的干净离线笔记本电脑，基于 QR 的 PSBT 签名，用于固件的专用只读微 SD 卡，以及在在线准备机器上严格执行 Windows/macOS 策略。

团队如何在发送大额转账前检测剪贴板替换？

采用双人控制并朗读校验和片段，在设备屏幕上验证目标地址，并要求对大额交易的新交易对手先进行小额测试交易。

免责声明：本文仅供信息参考。不构成法律、税务、投资、金融或其他建议。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文

20.00% 80.00%

利好

利空