重點摘要

• 「助記詞」如同錢包鑰匙，一旦外洩即等同資產暴露，本文會介紹 2025 年三個常見的「助記詞詐騙」劇本，帶你看懂攻擊邏輯。
• 「助記詞」（Recovery Phrase）是將錢包私鑰（Private Key）轉換成一組英文單字，通常會由 12 或 24 個英文單字組成。三大詐騙劇本包含：惡意 App、誘餌錢包留言、與雲端備份風險。
• 養成以下四大習慣，就能避免自己落入詐騙集團陷阱，包含：紙本備份、不下載不明 App、不濫授權、不盲目點擊連結。

作者 / 鄭婷宇 Claire

小心！手機相簿裡的錢包（Wallet） 截圖、存在雲端記事本裡的助記詞（recovery phrase），甚至在社群平台上看似無害的留言，都有可能在無意間，將自己推入詐騙深淵。

這篇文章，會介紹 2025 年三個常見的「助記詞詐騙」劇本，帶你看懂攻擊邏輯，以及提供你四個必須養成的好習慣，守護好自己以及親友的資產。

錢包的鑰匙！助記詞是什麼？

「助記詞」（Recovery Phrase）如同錢包的「鑰匙」，是將錢包私鑰（Private Key）轉換成一組較易記憶的英文單字，通常會由 12 或 24 個英文單字組成。

私鑰由一串 256 位數的隨機數組成，如同銀行 App 的密碼，是用來證明錢包持有人的依據，只有持有私鑰的人，才能使用、控制該錢包。

但長達 256 位數的私鑰非常難記憶，因此，現在會以「助記詞」（recovery phrase），作為私鑰的另一種表現方式。

「助記詞」最好是以手寫或不聯網的方式保存，才能避免外洩或遭到駭客攻擊，即便「助記詞」已經是簡化過後的私鑰，但對一般人來說，還是非常難以記憶。

因此許多人會選擇以截圖、拍照，或輸入在雲端文件中的方式保存，但這會讓資產暴露在極高的風險下，成為了詐騙集團潛在的攻擊目標。

💡延伸閱讀：區塊鏈錢包是什麼？一次搞懂運作方式、冷熱錢包差異以及使用情境

劇本一：App 中藏有惡意軟體！助記詞截圖全被看光

資安業者卡巴斯基（Kaspersky ）示警，近期一款惡意間諜軟體 SparkCat，會潛伏於似正常的 App 中，在用戶不知情的情況下，偷偷擷取手機裡的錢包機密資訊。

卡巴斯基的專家指出，SparkCat 會潛伏在點餐服務平台 ComeCome 這類看似正常的 App 中，一旦使用者安裝並開啟 ComeCome，系統會以提供完整功能為由，要求使用者讓該 App 取得讀取手機相簿的權限，一旦用戶同意，SparkCat 就會以光學字元辨識（OCR）技術，掃描手機相簿中的截圖與圖片檔案。

當辨識出疑似助記詞內容，系統便會立刻將檔案上傳至攻擊者的遠端伺服器，受害者錢包內的資產，就會在毫無察覺的情況下，慘遭洗劫一空。

值得注意的是，SparkCat 曾成功躲過 Google Play 與 Apple Store 的審查機制，在卡巴斯基專家提出警告之前，已經累積了近 25 萬次的下載量，不可不慎。

對一般用戶來說，幾乎難以辨識 App 中是否夾帶惡意程式，最好的防範方式，就是不要將錢包助記詞這類敏感資訊，存在手機相簿當中。

劇本二：送上門的金庫鑰匙

「你好，我有一個錢包內有 USDT，且已經有 12 個助記詞，如何將錢包內的 USDT，轉到另一個交易所呢？」，在 Youtube 影片下方，時常會看到疑似幣圈新手的提問，甚至將助記詞完整貼出。

圖說：在 Youtube 影片下方，時常會看到疑似幣圈新手的提問，甚至將助記詞完整貼出，看到此類留言，必須特別警覺。

這時，熟悉區塊鏈錢包操作，又心有貪念的人，可能會心想，「運氣真好！讓我發現了一座敞開的金庫。」

一旦心中產生這類「撿到寶」的想法，就要特別警覺，因為這正是詐騙集團慣用的誘餌手法，他們會在 Youtube、X（前身為 Twitter）等平台下方，貼出一組看似不小心外洩的助記詞，讓人誤以為撿到寶。

如果真的用這組助記詞登入錢包，通常會看到裡面有一筆幾千美元價值的加密貨幣，若想提領，系統會要求先匯入少量 $TRX 代幣作為手續費。

卡巴斯基分析師提醒，「當你把 $TRX 轉入該錢包以支付手續費時，這些 $TRX 會立即被轉移到詐騙者控制的其他錢包中。」

實際上，這組助記詞外洩的錢包是一個多重簽名的「誘餌錢包」，意思是需要多人授權，才能轉移錢包內的資產。因此，就算知道完整助記詞以及支付了手續費，也只是徒勞無功，無法將錢包內資產轉出，以為自己撿到寶，其實只是被詐騙集團釣上的一條魚。

劇本三：複製多把金庫鑰匙

許人為了方便，會將錢包助記詞、帳號與密碼等敏感資料，存放於 Google 文件、備忘錄、記事本 App、截圖相簿或雲端硬碟中。這類儲存資料的方式，形同將金庫「鑰匙」複製了好多支，分別交由雲端廠商、社群平台與手機設備商管理。

駭客也深知一般民眾的習慣，因此會鎖定這些平台攻擊，一旦這些平台中毒、帳號被盜，或爆發資安漏洞，助記詞就有可能曝光，將開啟自家金庫的鑰匙，白白送到駭客眼前。

此外，許多人會透過社交平台、即時通訊工具或 email 等方式，儲存或傳送自己的助記詞，這些行為在傳輸過程中也可能遭到駭客攔截，或因設備遺失、帳號洩漏等情形導致助記詞曝光。總結來說，只要曾將助記詞存在連網設備中，它就不再安全。

圖說：許人為了方便，會將錢包助記詞存放於 Google 文件、備忘錄中。這類儲存資料的方式，形同將金庫「鑰匙」複製了好多支，分別交由雲端廠商、社群平台與手機設備商管理。

養成四招良好習慣！保護你的資產

切記，在任何情況下，都不應該將自己的助記詞分享給任何人，同時也需避免存放到連網設備，避免被駭客入侵。

養成以下四大習慣，就能避免自己落入詐騙集團陷阱：

• 選擇安全的助記詞備份方式：紙本紀錄抄寫，是保存助記詞最安全的方式。不要將助記詞截圖存放在手機、雲端文件、備忘錄或以社群平台上。
• 不下載來路不明的 App：若沒有自行查核程式碼安全性的能力，建議一律到原始開發者的平台，下載正版軟體，才能避免安裝到詐騙軟體；或是到 Google Play 與蘋果的 App Store 下載，雖然兩大平台無法篩選出所有潛伏著惡意軟體的 App，至少已有一定程度的把關。
• 不要隨意授權 App ：安裝與啟用 App 前，往往都得一一授權 App 讀取自己設備的相簿、語音、鏡頭等各種資料，千萬別一股腦全部按同意。多花幾分鐘，留意這些權限是否與 App 的功能直接相關，避免開啟不必要的權限，最小化自己資訊的外洩風險。
• 避免盲簽與可疑連結：不要點擊來路不明的空投、投資邀請、陌生簡訊；不了解的簽名請一律拒絕。

天下沒有白吃的午餐，看到網路上有疑似外洩的助記詞時，也得提高警覺，養成以上四大習慣，就是遠離詐騙陷阱的第一法則。

關於 XREX 集團

創立於 2018 年，XREX 集團是一家擁有區塊鏈技術的國際金融機構，與銀行、政府及用戶密切合作，共同改寫金融定義。

XREX 集團將普惠金融視為社會責任並希望為此盡一份心力，持續運用區塊鏈技術推進金融參與權、金融使用權與金融教育權。

XREX 集團新加坡子公司於 2024 年 5 月取得新加坡金融管理局 (MAS) 大型支付機構 (MPI) 執照，臺灣子公司鏈科股份有限公司則於 2022 年 3 月完成與臺灣金融監督管理委員會的洗錢防制法令遵循聲明。