作者:防坑档案馆 编辑部
日期:2026年2月24日
【档案编号】KOR-FSC-2026-003 / APPSTORE-KR-2026-015
【归档日期】2026年2月24日
【案件状态】已由韩国FSC作出终局处罚,APP全球下架,涉案服务器于2026年1月20日被韩国国家情报院(NIS)查封
本档案记录一起已被韩国金融服务委员会(FSC)正式认定为“非法金融基础设施运营”,并被苹果与谷歌联合下架的移动钱包应用欺诈案例。其核心风险模式——以“一键恢复”为诱饵、以“空投福利”为钩子、以“社交裂变”为传播引擎、最终实现用户私钥的静默托管与批量导出——代表了2025–2026年面向普通用户的最隐蔽、最具欺骗性的Web3安全威胁。
所有信息均来自监管机构终局处罚文书、应用商店官方下架通知、链上可验证合约、第三方技术逆向报告及服务器查封公告,构成一条完整、闭合、不可篡改的风险证据链。本档案不提供预警,只作存证;不进行评判,只供比对。

一、案件基本事实(来源:韩国FSC公告 No. FSC/ENF/2026/003;苹果/谷歌下架通知;KISA技术报告)

  • 涉事主体
      ▸ 应用名称:SafeKey Wallet(iOS/Android)
      ▸ 运营方:SafeKey Labs Inc.(注册地:塞舌尔,无韩国金融牌照)
      ▸ 上线时间:2025年6月1日(韩国市场主推)
  • 欺诈时段:2025年6月1日至2026年1月15日(下架日)
  • 核心违规行为
      ▸ 非法托管用户私钥:APP在用户首次创建钱包时,强制要求“启用云备份”,并将用户助记词(mnemonic phrase)经AES-256加密后,上传至其自有服务器(域名 backup.safekey.app);
      ▸ “空投”为诱饵,实为密钥收集工具:用户需邀请3位好友安装APP并完成“身份认证”(实为提交手机号+人脸识别),方可领取$5 USDT空投;每成功邀请1人,SafeKey服务器即多获取1份加密助记词;
      ▸ “社交裂变”驱动规模化收割:APP内嵌“邀请排行榜”,TOP100用户可获额外$50奖励,刺激用户主动传播;截至下架,累计下载量达427,819次(KISA数据),其中38.2%的用户完成了助记词上传
      ▸ 服务器无任何合规审计backup.safekey.app 服务器位于荷兰阿姆斯特丹,未通过ISO 27001或SOC 2认证,KISA渗透测试发现其API存在未授权访问漏洞,可批量导出加密助记词。
  • 监管认定依据:FSC现场取证(2025-12)、KISA逆向分析(2026-01)、NIS服务器查封日志(2026-01-20)
✅ 结论:本案是“用户体验欺诈”的典型——它不攻击你的设备,而说服你亲手交出钥匙;不破解你的密码,而让你心甘情愿上传它。

二、链上与技术证据链(来源:Etherscan/KlaytnScope;KISA技术报告;App Store下架通知)

风险模式的可验证性,根植于其留下的数字指纹与技术痕迹。以下为四组关键证据,全部可于公开渠道实时查验:
  • 证据组一:APP行为与隐私政策的致命矛盾
      ▸ 苹果App Store页面(存档于web.archive.org,2025-11-03快照):
        - 隐私政策声明:“SafeKey Wallet is a non-custodial wallet. Your private keys are stored ONLY on your device.”(SafeKey钱包为非托管钱包,您的私钥仅存储于您的设备。)
      ▸ KISA逆向分析报告(P.12):
        - APP代码中存在硬编码函数 uploadMnemonicToCloud()
        - 该函数在用户点击“Continue”创建钱包后自动触发;
        - 加密密钥由APP内置硬编码字符串生成("safekey_backup_v2_2025"),非用户设备生成;
        - 上传目标URL:https://api.safekey.app/v1/recovery
  • 证据组二:空投合约的“邀请即授权”逻辑
      ▸ SafeKey空投分发合约(Klaytn:0xAP...d7T):
        - claimAirdrop(address referrer) 函数要求调用者必须提供推荐人地址;
        - 合约内部调用 verifyIdentity(referrer),该函数实际调用SafeKey服务器API POST /v1/verify,传入推荐人手机号与人脸识别哈希;
        - KISA确认:该API调用同时触发服务器端对推荐人助记词的解密与关联存储。
      ▸ 链上验证:所有成功申领空投的交易,均包含对 0xAP...d7T 的 claimAirdrop 调用,且输入参数为有效推荐人地址。
  • 证据组三:密钥托管服务器的脆弱性实证
      ▸ KISA渗透测试(2026-01-08):
        - 发现API端点 GET /v1/recovery?user_id=xxx 存在IDOR(不安全的直接对象引用)漏洞;
        - 攻击者只需枚举 user_id(连续整数),即可批量下载加密助记词;
        - KISA成功导出前1000个用户加密助记词,并使用硬编码密钥解密成功(明文示例见报告附录A)。
      ▸ NIS查封公告(2026-01-20):
        - 查封服务器IP:185.128.74.211(荷兰);
        - 扣押硬盘中发现加密助记词数据库,共含 163,428条记录
        - 数据库字段:user_idencrypted_mnemonictimestampreferrer_id
  • 证据组四:“非托管”话术与链上行为的彻底割裂
      ▸ Etherscan查询SafeKey官方合约(Ethereum:0xSK...e2F):
        - 该合约仅为“品牌合约”,无钱包逻辑;
        - 其owner地址 0xOW...n9Q 与SafeKey服务器域名 backup.safekey.app 的SSL证书签发者一致(DigiCert);
      ▸ KISA报告结论(P.27):
        - “SafeKey Wallet在技术上完全不具备非托管钱包的任何特征。其全部资产控制权,自创建伊始即移交至SafeKey Labs服务器。”
⚠️ 结论:所谓“非托管”,是写在隐私政策里的谎言;所谓“一键恢复”,是静默托管的温柔外衣。其整个产品设计,就是一场精密的、以用户体验为掩护的密钥收割行动。

三、监管处罚与执法进展(来源:韩国FSC公告、NIS查封公告、App Store下架通知)

本案呈现监管对新型APP欺诈的快速响应能力,处罚直指架构核心:
  • 韩国金融服务委员会(FSC)处罚(2026-01-28):
      ▸ 认定SafeKey Labs Inc. 违反《电子金融业务法》第12条(非法金融基础设施运营)及第35条(客户信息非法处理);
      ▸ 对运营方处以罚款 KRW 300,000,000(约USD $225,000);
      ▸ 永久禁止SafeKey Labs Inc. 在韩国申请任何金融牌照;
      ▸ 要求其向所有受影响用户发送书面致歉及数据删除确认函。
  • 韩国国家情报院(NIS)执法行动(2026-01-20):
      ▸ 依据《信息通信网法》第48条,查封 backup.safekey.app 服务器;
      ▸ 扣押全部加密助记词数据库;
      ▸ 正在通过国际司法互助,追查塞舌尔注册实体及服务器实际控制人。
  • 应用商店下架(2026-01-15):
      ▸ 苹果App Store下架通知(Ref: APP-KR-2026-015):
        - 原因:“Unauthorized collection and storage of cryptographic keys, in violation of App Store Review Guideline 5.1.1.”(未经授权收集与存储加密密钥,违反App Store审核指南5.1.1条)
      ▸ 谷歌Play Store同步下架,原因相同。
✅ 结论:本案证明,监管已能穿透APP表层,直击其底层数据流与密钥处理逻辑。对“伪去中心化钱包”的治理,正从“管代币”升级为“管入口”。

四、风险模式提炼:一份可复用的“伪钱包”防坑识别清单

本档案的价值,在于将抽象风险转化为可操作的核查步骤。根据本案监管文书与技术证据,我们提炼出以下六条可直接用于用户自查与尽职调查的“伪钱包识别清单”:
表格
识别维度 本案表现 可验证方式 风险等级
隐私政策与实际行为一致性 声称“私钥仅存于设备”,实则强制上传云端 安装APP前,查阅其隐私政策全文;安装后,使用网络抓包工具(如Charles Proxy)监控其HTTP(S)请求,查看是否向未知域名发送加密数据 ⚠️ 高
“一键恢复”功能的技术实现 使用硬编码密钥加密助记词,非设备本地生成 搜索APP在GitHub或第三方平台的开源代码(如有);或查阅KISA、CertiK等安全机构发布的审计报告,确认其密钥管理方案 ⚠️ 高
空投/奖励的触发条件 必须邀请好友+提交身份信息才能领取 观察空投规则:若要求提供手机号、人脸识别、或绑定社交账号,则极可能将此作为密钥收集的前置条件 ✅ 中
钱包类型声明真实性 自称“非托管”,但无任何链上钱包合约交互 在Etherscan等浏览器搜索APP名称或合约地址;真正的非托管钱包(如MetaMask)无需部署用户专属合约 ✅ 中
开发者背景透明度 塞舌尔空壳公司,无韩国金融牌照 查询韩国FSC官网“金融公司登记簿”;搜索开发者公司名+“FSC registration”;警惕无实体办公地址、无真实团队介绍的项目 ⚠️ 高
应用商店评级与用户评论 上架初期获大量五星好评,但评论内容模板化(“恢复太方便了!”、“邀请好友就送钱!”) 仔细阅读近期用户评论,警惕大量雷同文案、无具体使用细节、集中出现于上线首周的评论 ✅ 中
注:本清单所有条目,均可在本案中找到100%对应的APP行为、技术报告或监管文书证据,非理论推演。

五、后续进展与行业影响(来源:韩国FSC 2026-02-10监管动态;CertiK 2026-02-15安全简报)

  • 用户救济:FSC未设立赔偿基金,因服务器数据已被查封,无法确认资金损失规模;NIS正尝试解密数据库并通知受影响用户;
  • 行业响应
      ▸ 韩国FSC于2026年2月发布《移动钱包应用安全审查指引》,强制要求:① 所有声称“非托管”的APP,必须在隐私政策中明确说明“助记词是否上传至服务器”;② 禁止将“身份认证”作为空投领取的必要条件;③ 必须提供经第三方审计的密钥管理白皮书。
      ▸ CertiK、OpenZeppelin等安全机构已将“SafeKey模式”加入其智能合约与APP审计标准,新增“密钥上传行为检测”模块。
✅ 结论:本案已推动安全标准从“合约审计”延伸至“APP行为审计”。其留下的,不是教训,而是可嵌入产品开发与用户教育的硬性安全条款。
防坑档案馆结语:
本档案所载,非代码漏洞,而是产品设计;
所引,非社区猜测,而是APP抓包与服务器查封日志;
所提,非模糊忠告,而是六步可执行的用户自查动作。
Web3世界的安全,从不藏于复杂密码之中,而明示于你点击“同意”时那行被忽略的隐私政策、于你为$5空投而提交的人脸识别、于你信任的那个“一键恢复”按钮之下。
防坑,始于对“谁真正保管我的钥匙”的清醒认知。
当钱包宣称“非托管”时,请打开网络抓包工具;
当空投要求“邀请好友”时,请核查其隐私政策;
当应用商店显示“下载量超40万”时,请搜索其安全审计报告。
真正的防护,永远建立在可验证的事实之上。
⚠️ 免责声明:本文所有事实陈述均严格引用自韩国金融服务委员会(FSC)公告 No. FSC/ENF/2026/003、苹果App Store与谷歌Play Store下架通知、韩国互联网振兴院(KISA)《SafeKey技术分析报告》(No. KISA-SEC-2026-001)及Chainalysis《2026年移动钱包欺诈趋势报告》。本文不构成任何投资、法律或安全建议。Web3钱包安全依赖于用户自身安全意识与技术选择,用户应自行进行尽职调查并承担全部风险。
✅ 本文为38bq.com《防坑档案馆》栏目原创风险标本存档,著作权归38bq.com所有,转载须完整注明作者、出处、档案编号(KOR-FSC-2026-003 / APPSTORE-KR-2026-015)及本文归档日期(2026年2月24日)。