近期，安全领域的专家揭示了比特币的一种新型窃取策略，引发了业界的强烈震动。这一策略利用Tor代理（.onion）在悄然中将比特币转移至他人账户。此技术的恐怖性质令人忧虑。以下，我们将深入分析其背后的真相。

Tor代理的秘密

研究Tor代理的使用情况。虽然Tor浏览器广为人知，支持匿名网上冲浪，但较少为人所晓的是，Tor代理同样能够达到匿名效果。从本质上讲，Tor代理充当桥梁角色，将Tor流量转化为普通网络流量。看似便捷，但问题在于，代理服务提供者能完全控制服务器，随意截取或篡改网页内容。因此，使用Tor代理浏览网页时，所看到的页面可能已被隐秘修改。

采用Tor代理进行比特币赎金支付看似安全，但实际中，代理服务提供商秘密更换了勒索软件作者的收款地址为自己的私地址。结果，您支付的金额错误地流向了他人的账户，而非勒索者。此操作手段相当狡猾。

勒索软件的陷阱

讨论勒索软件时，您可能知晓其运作机制：该恶意软件锁定用户文档，并以比特币支付为解密条件。通常建议利用Tor浏览器进行隐蔽交易。尽管多数用户未安装该浏览器，却选择了Tor代理，这却是勒索软件制作者和代理服务提供商共同设下的圈套。

勒索软件开发者普遍推荐通过Tor代理完成赎金支付，但Tor代理提供商有可能更换接收比特币的地址。从而，您支付的比特币可能被代理服务端劫取，而非直接交付给勒索者，这种手段隐蔽且难以防范。

剪贴板的危险

察觉与否，剪贴板可能被恶意软件用作潜窃比特币的手段。某些木马程序会潜藏监控剪贴板内容，并在用户复制比特币地址时，暗中将其替换为攻击者的账户。因此，在比特币或Steam的交易过程中，资金可能不经意间转入错误账户。尤其是在需要手动复制交易地址的这类交易中，这一风险更为突出。

假定您已复制了比特币接收地址，计划进行赎金支付。然而，在粘贴地址过程中，木马病毒悄无声息地篡改了地址。等察觉到时，比特币已转账成功，无法追回。这一情形令人心生恐惧。

Tor代理的伪装

您可能误信，未利用Tor代理便可规避风险。但事实上，情况截然不同。Tor代理的高效匿名性可能导致误判，仿佛正在使用Tor浏览器。研究人员对比了在同一支付网站上，使用Tor浏览器与.topTor代理的访问效果，发现通过.topTor代理访问时，比特币接收地址已有变更。

图例左侧展示的是Tor浏览器的真实比特币地址，而右侧显示的地址，经由.topTor代理展现，已遭篡改。这一现象反映出，即便使用者确信自己在使用Tor浏览器，也可能遭遇代理欺诈。

勒索软件的狡猾

勒索软件制作者同样工于心计。他们深知通过变换比特币钱包地址可避于追踪之眼，故运用复杂手段保护自己。例如，将比特币地址拆分为四部分隐藏于HTML代码中，以掩盖地址识别特征。此外，他们指导用户使用Tor浏览器，并巧妙地将.onion支付链接藏于注释中，直至用户点击进行交易，方才揭露真实链接，以加大欺骗难度。

研究指出，topTor代理并未全面更换所采用的勒索软件中的比特币地址。这表明，部分勒索软件开发者可能未察觉到代理商的行动，且可能在赎金支付指南中错误地包含了.top链接。

受害者的困境

受害者遭遇重大打击，原本寄望以比特币支付赎金解锁文件，不料却发现加密货币可能已被盗取。该行为不仅造成了财务损失，也削弱了勒索软件交易的公信力。更为严重的是，该事件显著提升了受害者二次受害的可能性。

假定您已缴纳比特币赎金，误判问题已彻底解决。不料，在启动文件时依旧发现加密未被解除。此时始觉比特币已被秘密盗走。