助記詞外洩、錢包被盜怎麼辦?狀態分流搶救 SOP(撤銷授權在這裡沒用)
被 LINE 假客服騙貼助記詞、私鑰外洩、錢包正在被搬空——這幾十秒該怎麼做
| 你的狀態 | 立刻做 | 撤銷授權有用嗎 |
|---|---|---|
| A:資產還在 | 換乾淨裝置 → 開全新助記詞錢包 → 把資產掃到新錢包(原生 Gas 幣最後轉)→ 舊錢包當報廢 | 沒用 |
| B:已被搬空 | 鏈上轉帳無法還原 → 追蹤盜幣地址 → 打 165、刑事局報案 → 資金進交易所才有機會凍結 | 沒用 |
| 共同鐵則 | 舊錢包別再簽名/入金;助記詞別重用、別上雲端;「保證找回」的復原服務一律是二次詐騙 | — |
核心觀念:助記詞或私鑰外洩=整個錢包報廢,「撤銷授權」只在攻擊者僅握有代幣授權時才有用,鑰匙都外洩了,撤銷再多授權他也能重新授權,唯一解法是把資產全部搬到全新助記詞的錢包。
1. 「錢包被盜怎麼辦」——先別慌,接下來這幾十秒決定你救不救得回資產
2. 第一步分流:你現在是「還沒被搬空」(狀態 A)還是「已經被搬空」(狀態 B)?
3. 關鍵真相:為什麼助記詞/私鑰外洩=錢包直接報廢,而撤銷授權在這裡完全沒用
4. 釐清大誤會:交易所帳號被盜 ≠ 你的錢包助記詞外洩
5. 狀態 A 搶救實戰:在乾淨裝置開全新錢包,跟掃幣機器人搶秒數(原生 Gas 幣最後轉)
6. 狀態 A 進階:手動轉常被搶跑,私有 RPC/Flashbots 白帽救援與它的手續費、限制
7. 你的助記詞是怎麼流出去的?六大外洩管道
8. 狀態 B:已被搬空怎麼辦——鏈上追蹤、165 與刑事局報案、資金進交易所才有一線凍結機會
9. 第二層陷阱:「保證幫你找回幣」的復原服務,九成是二次詐騙
10. 重建與變現:新錢包正確設定,並透過 MaiCoin/BitoPro 換回 TWD
11. 絕對不要做的事:舊錢包別再簽名入金、助記詞別重用別上雲端
錢包被盜的當下,正確與否往往取決於最初那幾十秒的判斷。這篇不繞理論,直接幫你分流:先確認你是「還沒被搬空」還是「已經被搬空」,再帶你走對應的搶救或報案流程。全篇的軸心只有一句——助記詞外洩就是錢包報廢,別再浪費時間去撤銷授權。

1. 「錢包被盜怎麼辦」——先別慌,接下來這幾十秒決定你救不救得回資產
如果你是搜「錢包被盜怎麼辦」進來的,先深呼吸,然後把這件事看清楚:你現在面對的,不是「要不要撤銷授權」這種可以慢慢研究的問題,而是一場跟機器人搶秒數的賽跑。
台灣這邊最典型的劇本是這樣:你在 LINE 上被「假冒客服」或某個「穩賺投資群組」帶著走,對方要你「驗證錢包」「解鎖領空投」,於是你把 12 個或 24 個字的助記詞(也叫恢復詞、種子詞)貼了出去,或是輸進一個長得很像官方的網站。等你發現不對,往往已經在看區塊鏈瀏覽器上一筆一筆流出去的紀錄了。
下面我會先幫你分流:你現在是「還沒被搬空」還是「已經被搬空」,兩種狀態要做的事完全不同。看完分流再往下對應的段落走,不要跳著亂做。
2. 第一步分流:你現在是「還沒被搬空」(狀態 A)還是「已經被搬空」(狀態 B)?
盜幣事件只有兩種狀態,判斷方法很簡單:打開區塊鏈瀏覽器(以太坊用 Etherscan、BSC 用 BscScan、Solana 用 Solscan),貼上你的錢包地址,看資產還在不在。
| 你現在的狀態 | 該立刻做的事 | 撤銷授權(revoke)有用嗎? |
|---|---|---|
| 狀態 A:還沒被搬空(資產還在) | 在另一台乾淨裝置上開一個全新助記詞的錢包,把資產全部掃出來轉進去,原生 Gas 幣(ETH/BNB/SOL 等)最後轉。把舊錢包當成永久報廢。 | 沒用 |
| 狀態 B:已經被搬空 | 鏈上轉帳無法回收。改成:追蹤盜幣地址、打 165、到刑事局報案;若資金流進交易所入金地址,通知該交易所(唯一有機會凍結的路徑)。 | 沒用 |
| 兩種狀態共同禁止 | 舊錢包不要再簽任何交易、不要再入金;助記詞不要重複使用;不要聯絡任何「保證幫你找回幣」的復原服務。 | — |
3. 關鍵真相:為什麼助記詞/私鑰外洩=錢包直接報廢,而撤銷授權在這裡完全沒用
這一段是全篇最重要、也是最多人搞錯的地方。網路上大量文章告訴你「錢包被盜就去 revoke(撤銷授權)」,這個建議在助記詞或私鑰外洩的情況下,完全沒用,甚至會害你把寶貴的幾十秒浪費掉。
授權(approval)和助記詞,是兩種完全不同的東西
「撤銷授權」處理的是這種情況:你在某個 DeFi 網站簽了一筆「允許這個合約動用我的 USDT」的授權,結果那個合約是惡意的。這時候攻擊者手上只有「動用你某個代幣的權限」,並沒有你的錢包控制權。你去把那筆授權 revoke 掉,權限收回,問題就解決了。這種情況請看我們另一篇:如何撤銷代幣授權。
但如果外洩的是助記詞或私鑰本身,那攻擊者拿到的是整個錢包的鑰匙。他可以:重新簽任何授權、任意轉走任何代幣、從你的地址發起任何交易。你在這頭辛苦地一個一個撤銷授權,他在那頭一秒鐘就能重新授權一次。你永遠追不上。
| 被入侵的類型 | 攻擊者手上握有什麼 | 正確做法 |
|---|---|---|
| 簽到惡意授權 | 某個代幣的動用權限 | 撤銷授權(revoke)有效,收回權限即可 |
| 助記詞/私鑰外洩 | 整個錢包的控制權(可無限重新授權) | 唯一解法是把所有資產轉到全新助記詞的錢包;revoke 無用 |
所以結論很直接:只要你曾經把助記詞貼給別人、輸進網站、拍照存雲端,那就是「鑰匙外洩」,不是「授權問題」。別再想 revoke,趕快換錢包才是重點。
4. 釐清大誤會:交易所帳號被盜 ≠ 你的錢包助記詞外洩
很多人來問我的時候,其實搞混了兩種完全不同的事故,我幫你分清楚,因為處理方式天差地遠。
交易所帳號被盜(MaiCoin/BitoPro/幣安)
你在 MaiCoin、BitoPro、幣安這類交易所開的帳戶,是「託管」的。你的幣是放在交易所那裡,你登入靠的是帳號密碼加上 2FA,交易所根本沒有給你助記詞,你也不需要保管助記詞。如果是這種帳號被盜(例如密碼外洩、SIM 卡被盜轉),第一時間是聯絡交易所客服凍結帳戶、改密碼、重設 2FA,交易所有內部風控紀錄,有時還能協助。這跟本篇說的助記詞外洩是兩回事。
自管錢包被盜(MetaMask/Trust/Phantom/硬體錢包)
本篇談的是「非託管」的自管錢包。這種錢包在你建立時會給你一組 12/24 字助記詞,這組字就是唯一的鑰匙,沒有客服可以幫你重設、沒有「忘記密碼」按鈕。一旦這組字外洩,沒有任何人、任何公司能幫你把幣「凍結」或「還原」。
5. 狀態 A 搶救實戰:在乾淨裝置開全新錢包,跟掃幣機器人搶秒數(原生 Gas 幣最後轉)
確認你是狀態 A(資產還在)之後,這一段就是實戰。順序很重要,做錯順序可能整包歸零,請照著做。
步驟一:換一台乾淨裝置
不要用剛剛被盜的那台手機或電腦,因為它很可能已經有惡意程式或剪貼簿病毒。拿另一支乾淨的手機、或一台重灌過的電腦,從官方來源重新安裝錢包 App(認明官網網址,不要點 LINE 或搜尋廣告的連結)。
步驟二:建立全新助記詞的錢包
在乾淨裝置上「新建錢包」,讓它產生一組全新的助記詞,把這組字抄在紙上收好。這是你的新家。千萬不要把舊錢包的助記詞匯入,那等於把資產搬進一間門鎖已經被複製的房子。
步驟三:把資產掃出來,原生 Gas 幣「最後」轉
回到被盜的舊錢包,開始把裡面的資產轉到新錢包地址。順序是:先轉價值高的代幣(USDT、各種 ERC-20/BEP-20 代幣、NFT),最後才轉原生 Gas 幣(以太坊的 ETH、BSC 的 BNB、Solana 的 SOL)。
為什麼 Gas 幣要最後轉?因為轉代幣需要用 Gas 幣付手續費。如果你一開始就把 Gas 幣轉光了,剩下的代幣就會卡在舊錢包裡動不了。留一點 Gas 幣在最後,把該救的代幣都救完,再把剩下的 Gas 幣掃走。
6. 狀態 A 進階:手動轉常被搶跑,私有 RPC/Flashbots 白帽救援與它的手續費、限制
如果你發現:只要往舊錢包丟一點 Gas 幣,錢立刻被搶走,代表對方的掃幣機器人在盯著你的地址。這時候硬幹沒用,要換方法。
為什麼手動轉常被搶跑
一般轉帳會先進入公開的「交易記憶池」(mempool),機器人就在那裡監看。它看到你送 Gas 進來,馬上用更高手續費的交易插隊,在你之前把代幣掃走。你等於是在對方主場跟它拚手速,幾乎贏不了。
私有 RPC/Flashbots 白帽救援的原理
解法是繞過公開記憶池。以以太坊為例,有一種「贊助交易」(sponsored transaction/bundle)的作法:由一個乾淨的地址「代付」Gas,並把「付 Gas」和「轉出代幣」兩筆交易打包成一個原子包,透過 Flashbots 這類私有通道直接送進區塊,讓機器人在公開記憶池裡看不到、也插不了隊。這就是俗稱的「白帽救援」。
7. 你的助記詞是怎麼流出去的?六大外洩管道
知道助記詞是怎麼流出去的,才知道以後怎麼防。台灣使用者最常見的破口,是 LINE 上的假冒客服和假投資群組,但外洩管道其實不只一種。
| 外洩管道 | 怎麼運作 |
|---|---|
| LINE 假冒客服/假投資群組 | 冒充官方或「老師」,以「驗證錢包」「解鎖出金」為由誘你貼出助記詞或連進假網站,台灣最常見的起點 |
| 釣魚網站 | 做一個跟官方幾乎一樣的頁面,誘你「連接錢包」或直接填入助記詞 |
| 剪貼簿病毒(clipboard clipper) | 你複製收款地址時,惡意程式把它偷換成攻擊者的地址;也有變種會偷抄助記詞。資安公司 Check Point 於 2026 年 6 月通報過一款以 Rust 寫成、偽裝成「狙擊機器人/解鎖工具」的剪貼簿病毒,同時感染 Windows 與 macOS |
| 助記詞截圖/雲端照片 | 把助記詞拍照、截圖,照片自動同步到雲端相簿,一旦雲端帳號被入侵就全洩 |
| 假錢包/假空投 App | 下載到山寨錢包 App 或假空投程式,一輸入助記詞就被收走;針對繁體中文用戶投放的中文語系詐騙網路尤其猖獗 |
| 簽到惡意交易 | 被誘導簽下 Permit2、setApprovalForAll 之類的簽名,等於把資產動用權拱手讓人 |
8. 狀態 B:已被搬空怎麼辦——鏈上追蹤、165 與刑事局報案、資金進交易所才有一線凍結機會
如果已經是狀態 B(被搬空了),我不騙你:鏈上已確認的轉帳無法還原,沒有「反駭」這種東西,任何人跟你說能直接把幣轉回來,都是騙人的。但還是有該做的事,尤其當資金流向交易所時,還有一線機會。
第一步:鏈上追蹤盜幣地址
用區塊鏈瀏覽器點開那筆轉出交易,記下對方的地址,一路追蹤資金往哪裡去。重點是看它有沒有流進某個交易所的入金地址。這些地址和交易雜湊(TX hash)之後報案要用,先截圖存證。
第二步:撥打 165 反詐騙專線、到刑事局報案
台灣遇到詐騙,第一時間打165 反詐騙諮詢專線諮詢與通報,並到內政部警政署刑事警察局(刑事局)或就近派出所報案,做成刑事案件。把你整理好的錢包地址、盜幣地址、交易雜湊、時間、以及當初被 LINE 假客服/假群組誘導的對話截圖,全部一起提供。
第三步:只有資金流進交易所,才有機會凍結追回
老實說,凍結/追回的現實機會,幾乎只存在一種情況:被盜資金流進了某家交易所的入金地址。因為交易所有 KYC 與凍結能力,這時由警方/檢方透過正式程序聯繫交易所,才有可能凍結那筆錢。若資金一直在鏈上錢包之間流動、或進了混幣工具,實務上追回機率非常低。這是實話,先有心理準備。
9. 第二層陷阱:「保證幫你找回幣」的復原服務,九成是二次詐騙
被盜之後,人在慌,最容易掉進「第二層陷阱」:那些主動私訊你、或在留言區冒出來說「我能幫你把幣找回來」的復原服務。九成是二次詐騙,專門吃已經受害一次、急著想挽回的人。
· 要你提供助記詞或私鑰(真正能幫忙的人永遠不會跟你要鑰匙)
· 要你「先付一筆費用/保證金/解凍費」才動工(要你先付錢,本身就是詐騙徵兆)
· 保證「100% 找回」「有內部管道能直接凍結」
· 在 LINE、Telegram、IG 留言區主動私訊你,頭像常是「區塊鏈調查專家」
美國 FBI 與 FTC 都公開警告過這種「加密貨幣追回詐騙」(recovery scam):騙徒鎖定受害者名單,假裝成調查員或律師,再騙一次錢或再要一次鑰匙。真正的處理管道只有兩個:官方報案(165、刑事局)和交易所的正式凍結程序,兩者都不會私訊你、不會跟你要助記詞。
如果你需要做鏈上金流分析佐證報案,找的是有公開實體、有名有姓的資安或鏈上分析公司,而且他們只會分析「公開的鏈上資料」,絕不需要你的鑰匙。
10. 重建與變現:新錢包正確設定,並透過 MaiCoin/BitoPro 換回 TWD
不管你是搶救成功(狀態 A)還是準備重新開始(狀態 B),錢包重建都要一次做對,別讓自己再被搬第二次。
新錢包的正確設定
· 助記詞只用手抄在紙上(或金屬助記詞板),放在只有你知道的實體位置,永遠不要拍照、不要打字存手機、不要上傳雲端。
· 資金量大的話,認真考慮硬體錢包,讓簽名永遠在裝置內完成。
· 養成習慣:任何人、任何網站、任何「客服」跟你要助記詞,一律是詐騙,沒有例外。
· 平常把長期不動的資產放冷錢包,只留少量在熱錢包互動 DeFi,把風險隔開。
透過 MaiCoin/BitoPro 把資產換回 TWD
台灣有依洗錢防制規定完成 VASP 登記的本土交易所,像 MaiCoin、BitoPro,可以把加密資產換回新台幣、走銀行帳戶出金,是相對合規的變現出口。如果你手上是 USDT 或主流幣,也可以先在流動性大的國際大所整理、換成穩定幣,再走本土交易所出金。下面這幾家可作為救出資產後的整理與出金選擇:
不論用哪一家,出金前務必確認你所在地的可用性與 KYC 要求。本段只提供變現管道說明,不是投資建議。
11. 絕對不要做的事:舊錢包別再簽名入金、助記詞別重用別上雲端
最後把「絕對不要做的事」整理成清單,被盜當下腦子容易一片空白,照著這張清單避開就好。
· 不要再用它簽任何交易、連任何網站(每一次簽名都可能被利用)
· 不要再往裡面入金,包含想「先充 Gas 再救幣」也要極度小心掃幣機器人
· 不要以為「改個密碼/換手機」就能繼續用,鑰匙外洩就是報廢
· 不要重複使用同一組助記詞去開新錢包
· 不要把助記詞存進雲端、相簿、記事本、通訊軟體、Email
· 不要因為任何理由把助記詞給任何人(客服、律師、「復原專家」都不行)






