退休金全沒了！投資者 XRP 錢包遭駭，300 萬美元流入 Huione 洗錢

54 歲退休人士 Brandon LaRoque 發現他的 Ellipal XRP 錢包中的 120 萬 XRP（價值約 300 萬美元）被盜，這是他自 2017 年以來積累的畢生積蓄。區塊鏈調查員 ZachXBT 透過 120 多次跨鏈交換追蹤了這筆損失，發現資產消失在與 Huione 掛鉤的場外交易櫃檯。

退休金全沒了：XRP 錢包致命安全漏洞

（來源：Youtube）

事件起因於本月初，布蘭登·拉羅克（Brandon LaRoque）發現他的 Ellipal XRP 錢包中的 120 萬 XRP 被盜。值得注意的是，這筆被盜金額按當前匯率計算價值 288 萬美元，是這位 54 歲退休人士自 2017 年以來積累的畢生積蓄。

他原本以為他的資金在冷錢包裡是安全的。然而，後來，LaRoque 發現，將他的種子短語導入 Ellipal 行動應用程式後，實際上將設定轉換為了熱錢包。這個致命的誤解導致了災難性後果。

「過去八年我一直在累積 XRP，」拉羅克在 YouTube 影片中講述了這起竊盜案。「這相當於我們整個退休生活，我不知道該怎麼辦。」這種絕望的聲音，在 XRP 錢包被盜案件中並不罕見。

Ellipal 案再次引發了自主託管安全性的爭論。受害者混淆了 Ellipal 的冷錢包和基於應用程式的熱錢包，這反映出 XRP 錢包設計不清晰以及用戶教育缺失的問題。冷錢包應該是完全離線的，私鑰永遠不接觸網絡。然而，當用戶將種子短語輸入行動應用程式時，私鑰就暴露在網路環境中，本質上變成了熱錢包。

這種設計上的模糊性是許多 XRP 錢包的通病。用戶往往誤以為只要使用了硬體錢包或品牌聲稱的「冷錢包」，資金就絕對安全。實際上，操作流程中的任何失誤都可能破壞安全性。Ellipal 是否在用戶介面和說明文件中充分警示了這種風險，值得質疑。

Huione 洗錢網絡：150 億美元的黑色通道

ZachXBT 的鏈上調查發現，攻擊者透過 120 筆 Ripple-to-Tron 橋接交易兌換了被盜的 XRP。他們利用了 Bridgers（以前稱為 SWFT），然後將資金整合到 Tron 上。三天之內，這些資產就消失在與匯旺（Huione）掛鉤的場外交易櫃檯。

美國財政部最近對這家東南亞支付網路實施了製裁，因為該公司透過詐騙、人口販賣和網路犯罪進行 Huione 洗錢，涉及金額數十億美元。該案件將 XRP 錢包盜竊案與 Huione的網絡聯繫起來，暴露了全球執法的一個關鍵弱點。美國當局表示，Huione 洗錢促成了超過 150 億美元的非法轉帳。

Huione 洗錢網絡的運作模式極為隱蔽。作為表面上合法的支付和外匯服務提供商，Huione 在東南亞多個國家運營，為犯罪分子提供加密貨幣兌換法幣的通道。由於這些國家的監管較為寬鬆，執法協調困難，Huione 得以長期逃避制裁。

缺點是，即使區塊鏈路徑公開，跨司法管轄區的洗錢管道仍然難以中斷。ZachXBT 能夠追蹤資金流向 Huione，但無法阻止資金在那裡被兌現和消失。這種執法真空地帶，是加密貨幣犯罪猖獗的根本原因。

Huione 洗錢的三步流程：

第一步：跨鏈混淆：透過 120 次橋接交易將 XRP 轉換為 Tron，模糊資金來源

第二步：整合轉移：將小額資金整合成大額，轉移到 Tron 鏈上新地址

第三步：OTC 套現：透過 Huione 掛鉤的場外交易櫃檯兌換成法幣，完全消失

95% 恢復公司是掠奪者：二次詐騙產業鏈

儘管執法部門常常難以迅速做出反應，但 ZachXBT 表示，復甦經濟已經出現，利用了受害者的絕望情緒。他寫道：「另一個教訓是，95% 以上的追償公司都是掠奪性的，他們只提供基本報告並收取高額費用，卻很少提供可操作的見解。」

他補充說，許多這類公司依靠搜尋引擎優化和社群媒體定位來吸引 XRP 錢包被盜受害者。他們通常只提供膚淺的區塊鏈報告，或告訴客戶「聯繫交易所」。這種服務的實際價值極低，但收費卻極高，往往要求受害者支付數萬美元的前期費用或成功追回後的高額分成。

這第二層利用機制將許多高價值駭客攻擊變成了多階段犯罪。首先是駭客本人實施攻擊，然後是虛假的追回運營商，他們承諾追回實際上早已消失的資金。對於像 LaRoque 這樣已經損失 300 萬美元的受害者，這些恢復公司的虛假承諾如同雪上加霜。

ZachXBT 暗示，真正的悲劇是，下一波損失可能不是來自駭客，而是來自那些聲稱幫助追回資金的人。當受害者在絕望中尋求幫助時，這些掠奪性公司會利用他們的希望和無助，榨取最後的價值。

XRP 錢包安全教訓：冷熱錢包的致命混淆

除了洗錢線索和恢復公司騙局之外，Ellipal 案再次引發了 XRP 錢包自主託管安全性的爭論。受害者混淆了 Ellipal 的冷錢包和基於應用程式的熱錢包，這反映出錢包設計不清晰以及用戶教育缺失的問題。

冷錢包和熱錢包的根本區別在於私鑰是否接觸網絡。真正的冷錢包私鑰永遠不接觸任何聯網設備，所有交易簽名都在離線環境中完成。相比之下，熱錢包的私鑰儲存在聯網設備中，方便使用但安全性較低。

LaRoque 的錯誤在於將種子短語輸入行動應用程式。即使 Ellipal 硬體裝置本身是冷錢包，一旦種子短語被輸入聯網應用，整個 XRP 錢包的安全性就降級為熱錢包。這種操作失誤可能源於對錢包工作原理的誤解，也可能是 Ellipal 的用戶介面沒有充分警示這種操作的風險。

由於執法部門缺乏處理加密貨幣相關犯罪的能力，追回 LaRoque 300 萬美元的希望渺茫。隨著像 Huione 洗錢這樣的跨國洗錢網絡日益猖獗，追回的難度也隨之加大。即使 ZachXBT 能夠追蹤資金流向，但在資金進入 Huione 網絡並兌換成法幣後，區塊鏈的透明性就失去了作用。