为什么“扳手攻击”正成为最暴力的加密犯罪形式之一

2025 年 1 月，法国当局在绑匪索要大量加密货币赎金后，解救了 Ledger 联合创始人 David Balland。该案件展示了当加密犯罪走出屏幕、演变为现实中的人质事件时，可能呈现出的样貌。

事实上，与加密货币相关的纠纷和盗窃正越来越多地与现实世界中的暴力行为挂钩，包括绑架未遂以及通过勒索迫使受害者交出访问权限的计划。

这正是“扳手攻击”的逻辑所在。犯罪分子不再试图入侵钱包，而是通过威胁或暴力，迫使持有人自行解锁钱包或发起转账。

尽管在数量上，诈骗和黑客攻击仍占主导，但一些最暴力的事件正越来越多地涉及胁迫行为。那么，为什么这种情况会在当下发生，并且为何正在加速？

什么是扳手攻击？

扳手攻击是一种发生在现实世界中的犯罪行为，攻击者通过威胁或暴力，迫使加密货币持有人交出访问权限，例如泄露凭证、解锁设备或授权转账。

简而言之，这是一种通过攻击“人”而不是攻击“加密技术”来获取加密货币的方式。

这一说法源自一则广为人知的 Xkcd 漫画。当加密技术足够强大时，最直接的捷径就变成了胁迫，比如用扳手打人。这个术语之所以流行，是因为它精准地概括了此类事件为何让人感觉与大多数加密盗窃截然不同：攻击者不需要技术漏洞，只需要接近目标，并掌握对其日常生活施压的手段。

你知道吗？“扳手攻击”这一术语通常被认为源自 Xkcd 的第 538 号漫画《Security》。这则漫画调侃道，当一台笔记本电脑被强加密保护时，攻击者可能会放弃破解数学难题，转而依靠胁迫手段——臭名昭著的“5 美元扳手”捷径。

扳手攻击真的在增加，还是只是受到更多关注？

简短的答案是：两种情况可能同时成立，而数据需要谨慎解读。

Dragonfly 的 Haseeb Qureshi 在分析 Jameson Lopp 的事件记录后指出，被报告的扳手攻击数量随着时间推移有所上升，而且近年来单起事件的平均严重程度也在提高。

分析还发现了明显的价格效应。当加密货币总市值上升时，被报告的暴力事件往往也会随之增加。一个简单的回归模型显示，攻击频率变化中大约有 45% 可由市场总市值来解释。

但有两个重要前提需要注意。第一，Lopp 的数据库本身就明确并不全面，它基于公开报道构建，因此无法涵盖那些从未进入新闻视野的案件。

第二，关于扳手攻击的学术研究指出，系统性漏报现象普遍存在，包括受害者因担心再次遭到伤害而选择保持沉默。

这正是 Qureshi 提出的“归一化”观点之所以重要的原因。以每位用户来衡量，被报告的风险可能反而低于此前的周期，尽管新闻标题看起来更加骇人。

为什么扳手攻击成为加密领域最暴力的犯罪之一

扳手攻击的出现，源于几个因素的叠加：快速且不可逆的支付方式、可被直接触达的财富日益集中、现实世界中更容易锁定目标，以及数据泄露将线上加密身份转化为线下风险。

动因一：收益来得快、可携带且难以追回

在加密货币体系中，攻击者无需倒卖赃物或清洗被盗的银行卡信息。只要能够迫使对方发起转账，价值就可以迅速、跨境地转移，这也解释了为何对犯罪分子而言，胁迫手段显得相对更具吸引力。

动因二：更多人持有可被触达的财富

随着价格上涨，同样的持仓规模会变成更大的目标。事件发生频率与加密市场总市值同步变化，也表明价格对暴力犯罪具有显著的拉动效应。

动因三：锁定目标并没有想象中那么难

公开露面的加密从业角色、线下聚会、点对点（P2P）交易，以及日常过度分享个人信息，都可能为攻击者提供现实世界中的切入点。剑桥大学的研究人员将这类事件描述为：通过把压力转移到持有人身上，从而绕过数字安全规范的攻击。

动因四：数据泄露让线上身份转化为线下风险

近期的多起事件凸显了姓名、地址和电话号码如何通过第三方或内部人员滥用而泄露。从 Coinbase 支持人员受贿案，到 Ledger 相关的客户数据外泄，这些情况在某些场景下都让个人与加密活动之间的关联更容易被建立。

这些攻击通常如何发生

其模式往往类似一套犯罪脚本：先是锁定目标并接近，随后实施胁迫，一旦获得访问权限，资金便迅速被转移。

最初的接触可能看起来与传统街头犯罪相似，例如抢劫或入室侵害，也可能是更有组织性的胁迫行为。受害者并不总是随机的陌生人。

在某些情况下，扳手攻击还会与家庭或人际关系中的虐待行为交织在一起，加密资产的访问权被用作控制他人的工具。.

你知道吗？Roman Novak 和 Anna Novak 是一对居住在迪拜的俄罗斯夫妇。2025 年 10 月，两人在被诱骗前往阿曼边境附近、靠近哈塔（Hatta）的地点，与所谓的投资者会面后失踪。调查人员随后将该案视为一起绑架事件，动机与强迫获取资金（包括加密货币）有关。这起案件被认为是最广为引用的现实世界“扳手攻击”案例之一，并造成了致命后果。

谁的风险最高？

扳手攻击很少随机针对普通的加密用户。

这类攻击往往更集中在那些容易被识别、容易被定位、且被认为持有大量、可快速动用资产的人身上，包括创始人和高管、经常公开露面的意见领袖、场外（OTC）或点对点（P2P）交易者，以及任何其线上足迹能够将真实身份与可观加密财富联系起来的人。

地理位置同样重要。西欧和亚太地区部分国家报告的事件增幅最为明显，而北美相对更安全一些，尽管案件的绝对数量仍在上升。

此外，被针对的并不一定只是资产的直接持有人。法国近期的一些案例显示，犯罪分子有时会转而锁定亲属或伴侣，在难以接触到钱包所有者本人时，利用家庭关系作为施压杠杆。

如何降低风险

扳手攻击带来的一个残酷教训是：即便密钥管理再强，也无法自动消除所有风险。它或许能让线上盗窃变得更困难，却把“最后一公里”的风险暴露出来——也就是你本人、你的生活规律以及你的个人数据。

对大多数人而言，现实目标是让自己成为“不值得下手的目标”，并减少攻击者能够迅速获取的资产规模。这通常可以归结为三个方面：

降低可见度：避免公开炫耀持仓，弱化真实身份与加密活动之间的关联，并默认过度分享会显著提高风险。

降低即时可用余额：将日常开支与长期存储分离，避免大额资产存在单点失效风险，例如采用多方审批或时间延迟机制。

将冒充客服视为同一威胁环境的一部分：犯罪分子可能利用泄露的数据，施压受害者转移资金。Coinbase 的官方指引明确指出，正规的客服不会索要密码、双重验证（2FA）代码，也不会要求将资金转入所谓的“安全地址”。

如果威胁真的发生，首要任务永远是人身安全并及时求助，而不是保护钱包。这正是扳手攻击成为当今加密犯罪中最锋利边缘之一的原因：它把数字财富转化为现实的人身安全风险，迫使整个行业的安全讨论从浏览器里，走向现实世界。

相关推荐：加密货币的去中心化承诺在互操作性方面落空