中间人攻击是指攻击者秘密介入通信双方，拦截、篡改或伪造通信内容，而双方误以为是在直接交互。此类攻击常见于网络监听、数据伪造、身份盗用和地址替换等场景。在加密资产领域尤为危险，因为攻击者只需替换一个地址，便可能导致巨大资产损失。打个比方：你寄给朋友重要信件，路途中被「坏邮差」截获并篡改内容，朋友收到的信件信息已不准确。邮差在此扮演中间人角色，实施了中间人攻击。区块链中，大多数公链转账只需收款地址，无需姓名等额外验证，增加了中间人攻击成功的风险，造成的损失更大且难追回。主流硬件钱包通信主要采用 USB、蓝牙、二维码和 NFC 四种方式，其中 USB 和蓝牙最常见。钱包端向硬件钱包发送请求，经过通信通道传输，硬件处理后返回结果。虽然硬件钱包本身安全，但通信过程依赖客户端和通道，如果「邮差」被劫持，数据可被篡改，导致软件显示信息与硬件实际不符，极易造成损失。 Trezor 通过 USB 连接 Metamask 钱包时，通信通过本地启动的 Trezor Bridge HTTP 服务器完成。该桥接服务器监听本地特定端口，转发序列化数据给硬件设备。攻击者若控制本地恶意软件，可篡改桥接服务器数据，充当中间人，修改传输信息。Metamask 软件端静默读取硬件 ETH 公钥地址，无需用户确认，为攻击提供了便利路径。攻击演示中，恶意软件替换了桥接服务器进程，Metamask 读取到的 ETH 地址被伪造，与硬件显示不符。攻击原理是重放并替换序列化通信数据，篡改返回结果。攻击准备包括编译篡改后的二进制守护进程，并诱使用户安装运行恶意软件。攻击成功后，用户通过 Metamask 操作时显示的地址与实际硬件地址不一致，用户资产极易被转移盗窃。团队沟通中指出，Metamask 的设计允许静默读取地址，无需硬件确认，存在安全隐患。硬件钱包设计初衷是重要操作均需用户确认，但为提升用户体验，允许静默读取地址。用户首次使用时一旦被攻击，极易落入陷阱。 所有硬件非确定性信息都存在安全风险，盲签属于此类。尽管硬件显示签名确认，用户无法理解签名具体内容，无法避免中间人攻击。Safe 多签钱包案即为典型，恶意 JavaScript 篡改签名数据，Ledger 钱包盲签特性加剧了风险。通信通道的攻击不仅限于客户端恶意软件，也可能发生在服务器端（如钱包构建交易服务），或物理层面（摄像头、USB 线等），每个环节均是潜在攻击点。虽然端到端加密通信难度大幅提升安全性，但无法 100% 保证安全。攻击者考虑的并非技术难度，而是投入成本与法律风险。产品团队通常将中间人攻击防护列为低优先级，间接允许风险存在。用户应主动提升安全意识，尤其重要资产建议隔离电脑、避免连接不可信网络和访问不明网页。\n原文链接