熱錢包被攻破：24 小時恢復方案

發現熱錢包被攻破的一刻，往往是加密貨幣用戶最慌亂的時候。資產好似在眼前流走，但大部分人都不知道應該先做甚麼、還可以做甚麼。恐慌本身亦會帶來第二次失誤——例如連到假冒的「找回資產」網站，令攻擊者再收割一次。

本文提供一份系統化的 24 小時應對方案，按時間線拆解每個階段的優先動作，幫助你盡快止蝕，並重建更安全的交易環境。

第一階段：頭 30 分鐘——緊急止蝕

發現異常後，第一反應不應該是「即刻轉走剩餘資產」，而是先確認攻擊是否仍在進行。

立即斷開該錢包與所有 DApp 的連接。在 MetaMask 等錢包設定中，找到「已連接網站」列表，移除所有連接。這可以防止已授權的 DApp 繼續調用錢包簽名功能。

接着前往 Revoke.cash，輸入被攻擊的地址，檢查所有仍然有效的代幣授權（Token Approval）。重點留意授權額度為「無限」（Unlimited）的項目，這類授權是攻擊者最容易利用的後門。逐一撤銷所有可疑或不認識的授權。撤銷本身需要在鏈上廣播一筆交易，因此該地址需要有少量 ETH 或原生代幣支付 Gas 費；如果已經完全沒有餘額，先跳到下一步，補入少量 Gas 後再處理。

同時，截圖記錄當前錢包餘額、交易歷史和授權列表。這些資料在之後分析攻擊來源時會很有用。

第二階段：1–4 小時——轉移剩餘資產

撤銷高風險授權後，立即將剩餘資產轉移到一個全新、與被攻擊錢包完全無關的地址。

如果你有 OneKey 硬件錢包，這正是應該啟用它的時候。一個從未接觸過任何 DApp 的硬件錢包地址，通常是當下較安全的接收目的地。如果沒有硬件錢包，請在一部完全乾淨的裝置上生成新地址，最好是剛重設的手機；助記詞應即時用實體方式記錄，不要截圖、不要上雲、不要存入筆記 App。

轉移順序建議按價值由高至低，先處理大額主流資產，例如 ETH、主流穩定幣，再處理小額代幣。需要注意：不要因為急於轉移，就在被攻擊的裝置上操作。攻擊者可能已在裝置上植入鍵盤記錄器；一旦你輸入新錢包的助記詞，新錢包亦可能即時暴露。

Chainalysis 關於 drainer 的研究指出，攻擊者通常會在取得初始存取權後數分鐘內自動清空高價值資產。因此速度很重要，但絕不能因慌亂而在不安全的裝置上操作。

第三階段：4–12 小時——全面審計與清理

完成資產轉移後，進入詳細審計階段。

在 Revoke.cash 對被攻擊地址做完整授權審計，確認所有授權已撤銷。即使你已經放棄該地址，未撤銷的授權記錄仍然有助後續分析；如果你曾重複使用同一組種子，亦可能影響同助記詞派生出的其他地址。

檢查被攻擊裝置上安裝的所有瀏覽器擴充功能，逐一核對安裝時間、權限範圍和來源。陌生擴充、權限異常高的擴充，都應立即移除。回顧過去 30 日曾瀏覽過的 DApp 地址，並對照已知釣魚網站資料庫，判斷是否曾使用仿冒前端。

同時檢查作業系統層面：是否有異常排程任務、陌生程式自動啟動、剪貼簿是否有異常行為。剪貼簿劫持是一種常見攻擊方式，會在你複製地址時，悄悄將地址替換成攻擊者地址。

第四階段：12–24 小時——追查攻擊來源與建立新體系

完成分析後，你應該能大致鎖定攻擊發生的路徑。常見攻擊向量包括：

• 釣魚連結：點擊了偽造的 DEX 或空投頁面，泄露助記詞，或簽署了惡意授權。
• 惡意授權：在某個 DApp 互動時，簽署了包含隱藏轉帳權限的授權交易。
• 助記詞泄露：助記詞曾以數碼形式儲存，例如截圖、雲端筆記、電郵，被攻擊者取得。
• 剪貼簿劫持：裝置感染惡意軟件，轉帳地址在複製貼上時被替換。
• 惡意擴充功能：安裝了假冒錢包或工具擴充，私鑰被靜默上傳。

確認攻擊向量後，應對被攻擊裝置進行徹底重設，例如恢復原廠設定或重裝系統。不要只依賴防毒掃描，因為高階惡意軟件有機會避過偵測。

新安全體系應以帳戶抽象標準 EIP-4337 和硬件簽名為核心：前者可提供更細緻的權限控制和社交恢復能力，後者則從根本上隔離私鑰。同時，對每一筆鏈上簽名都應使用 EIP-712 的可讀性驗證，確保你在簽名前清楚看到交易內容，避免「盲簽」再次成為突破口。

24 小時恢復時間線

• 0–30 分鐘：斷開所有 DApp 連接，檢查並撤銷高風險授權，截圖保存證據。
• 1–4 小時：在乾淨裝置上建立全新地址，優先轉移高價值資產。
• 4–12 小時：全面審計授權、瀏覽器擴充、近期 DApp 使用記錄和裝置狀態。
• 12–24 小時：追查攻擊來源，重設受感染裝置，建立以硬件錢包和可讀簽名為基礎的新安全流程。

如何防止再次發生

熱錢包被攻破，很多時並非單一意外，而是長期忽視安全習慣累積出來的結果。防止重演的核心措施包括：

• 始終將主要資產存放在硬件錢包的冷儲存地址中，熱錢包只保留當前操作所需的最低金額。
• 定期（至少每月一次）到 Revoke.cash 檢查所有代幣授權，及時清理不再使用的項目授權。
• 對任何要求你輸入助記詞的網站、App 或「客服人員」保持高度警惕。OWASP 釣魚攻擊文件記錄了大量真實案例，攻擊者非常擅長模仿官方介面並製造緊迫感。正規錢包永遠不需要你輸入助記詞來「驗證」或「恢復」。

用 OneKey 重建安全基礎

經歷錢包被盜後，較實際的重建策略，是用更高安全基準的工具取代原有設定。OneKey 硬件錢包提供物理隔離的私鑰儲存，支援多鏈資產管理；配合 OneKey Perps，你亦可以在無需 KYC 的環境下繼續管理永續合約交易流程，包括以更清晰的簽名確認和硬件錢包隔離來降低操作風險。

你可以前往 OneKey 官網了解產品和安全設計，開源代碼亦在 GitHub 開放予社群審計。同時，可參考 WalletConnect 文件，了解如何使用硬件錢包安全連接 DEX 前端，在安全與便利之間取得更合理的平衡。

如果你仍然需要進行合約交易，尤其是涉及槓桿的永續合約，建議先重建冷熱錢包分層、授權管理和簽名檢查流程，再下載或試用 OneKey，並透過 OneKey Perps 以更有紀律的方式操作。這不是收益保證，而是降低私鑰和授權風險的實用工作流。

FAQ

Q1：發現錢包被盜後，第一步應該做甚麼？

第一步不是慌忙轉帳，而是立即斷開該錢包與所有 DApp 的連接，並前往 Revoke.cash 撤銷所有代幣授權。這可以阻止攻擊者透過已授權合約繼續轉移資產。如果同時仍有資金流出，再考慮轉移剩餘資產——但前提是必須使用乾淨裝置操作。

Q2：我可以追回被盜的加密貨幣嗎？

在絕大多數情況下，已轉走的鏈上資產無法追回。區塊鏈交易不可逆是其基本特性。極少數情況下，如果攻擊者將資產轉入受監管的中心化交易所，且金額較大，你可以向交易所申請凍結，但成功率通常很低。更現實的目標是：盡量止蝕、保護剩餘資產、防止再次被盜。

Q3：甚麼是剪貼簿劫持攻擊？如何判斷自己是否中招？

剪貼簿劫持是一種惡意軟件攻擊，會監控你的剪貼簿內容；當偵測到加密地址格式時，自動替換成攻擊者地址。判斷方法很簡單：複製一個地址，貼到文字編輯器，核對是否與原地址完全一致。如不一致，代表剪貼簿可能已被劫持。防範方法是只在可信裝置上操作，並始終逐字核對轉帳地址的頭五位和尾五位。

Q4：如果我的助記詞泄露了，生成新地址有用嗎？

如果新地址仍然由同一組助記詞派生，就沒有用。攻擊者只要掌握助記詞，就可以生成所有派生地址。你必須使用全新隨機生成的助記詞，並在乾淨裝置上建立錢包，才算真正建立安全隔離。

Q5：Hyperliquid 或 dYdX 的平台層面可以幫我凍結資產嗎？

Hyperliquid 和 dYdX 都是去中心化平台，沒有中心化資產凍結機制。一旦資產透過智能合約被轉走，平台無法介入。這亦是為何主動防禦——硬件錢包、授權管理、防釣魚意識——遠比事後補救重要。

結論：危機是重建更好安全體系的契機

熱錢包被攻破當然令人難受，但它亦提供了一個機會：用這次教訓，迫使自己建立真正專業的安全體系。按照本文的 24 小時時間線完成止蝕和恢復，然後盡快以硬件錢包、授權審計和清晰簽名流程重建安全基礎。你可以下載或試用 OneKey，並在需要進行永續合約交易時，使用 OneKey Perps 作為更實際、風險意識更高的工作流。

風險提示

本文內容只供教育參考，不構成任何形式的法律、財務或安全建議。加密貨幣交易具有高度風險，任何安全措施都無法提供百分之百保障。遭遇資產損失後，建議同時向相關執法機構報案，並保留所有鏈上記錄作為證據。請在充分了解風險後自行決策。