社工攻击盯上加密货币用户，损失超亿美元

近年来，加密资产领域的社会工程攻击已成为用户资金安全的重大威胁。自2025年以来，针对某知名交易平台用户的社交工程诈骗事件频发，引发了业内广泛关注。从社区讨论可以看出，这类事件并非个案，而是一种有组织、持续性的骗局类型。

5月15日，该平台发布公告确认了此前关于内部数据泄露的猜测。美国司法部已对此事件展开调查。本文将根据多位安全研究者和受害者提供的信息，揭示诈骗者的主要作案手法，并从平台和用户两个角度探讨应对之策。

历史分析

链上侦探Zach在5月7日的更新中称，仅过去一周就有超4,500万美元因社会工程诈骗从该平台用户处被盗。过去一年中，Zach多次披露相关盗窃事件，个别受害者损失高达上千万美元。

Zach在2025年2月的详细调查显示，仅2024年12月至2025年1月间，此类骗局造成的资金损失已超6,500万美元。他指出，这类攻击正以年均3亿美元的规模侵害用户资产安全。主导这些诈骗的团伙主要分为两类：一类是来自某圈的低级攻击者，另一类是位于印度的网络犯罪组织。

诈骗团伙主要针对美国用户，其作案手法标准化、话术流程成熟。实际损失金额可能远高于链上可见统计，因未包含无法获取的客服工单和警方报案记录等未公开信息。

骗局手法

在此次事件中，平台的技术系统并未被攻破。诈骗者是利用内部员工权限，获取了部分用户的敏感信息，包括姓名、地址、联系方式、账户数据、身份证照片等。诈骗者最终目的是利用社会工程手段诱导用户转账。

这类攻击改变了传统"撒网式"的钓鱼手段，转向"精准打击"，堪称"量身定制"的社工诈骗。典型作案路径如下：

1. 以"官方客服"身份联系用户
2. 引导用户下载官方钱包
3. 诱导用户使用诈骗者提供的助记词
4. 诈骗者进行资金盗取

诈骗者使用伪造电话系统冒充客服，称用户"账户遭遇非法登录"或"检测到提现异常"，营造紧急氛围。随后发送仿真的钓鱼邮件或短信，包含虚假的工单编号或"恢复流程"链接。这些链接可能指向克隆的平台界面，甚至能发送看似来自官方域名的邮件。

诈骗者会以"保护资产"为由，引导用户转移资金至"安全钱包"，协助安装官方钱包并将托管资产转入新创建的钱包。与传统"骗取助记词"不同，诈骗者直接提供一组他们自己生成的助记词，诱导用户将其用作"官方新钱包"。

受害者在紧张、焦虑且信任"客服"的状态下，极易落入陷阱。一旦资金转入这个新钱包，诈骗者便可立即将其转走。

据@NanoBaiter表示，这些攻击往往组织化地进行策划与实施：

• 诈骗工具链完善：使用PBX系统伪造来电号码，借助Telegram机器人仿冒官方邮箱。
• 目标精准：依托被盗用户数据锁定目标，甚至借助AI处理数据。
• 诱骗流程连贯：从电话、短信到邮件，诈骗路径无缝连贯。

链上分析

对部分诈骗者地址进行分析，发现这些诈骗者具备较强的链上操作能力：

• 攻击目标覆盖多种资产，活跃时间集中在2024年12月至2025年5月。
• 目标资产主要为BTC与ETH，单笔获利可达数百万美元。
• 资金获取后，迅速利用一套清洗流程进行兑换与转移。
• ETH类资产常通过DEX快速兑换为稳定币，再分散转移。
• BTC则主要通过跨链桥转至以太坊，再兑换为稳定币。
• 多个诈骗地址在收到稳定币后仍处于"静置"状态。

建议用户在交易前使用链上反洗钱与追踪系统对目标地址进行风险检测，以规避潜在威胁。

应对措施

平台

建议平台将用户教育、安全训练、可用性设计一体化，建立"面向人"的安全防线：

• 定期推送反诈教育内容
• 优化风控模型，引入"交互式异常行为识别"
• 规范客服渠道与验证机制

用户

• 实施身份隔离策略
• 启用转账白名单与提现冷却机制
• 持续关注安全资讯
• 注意线下风险与隐私保护

保持怀疑，持续验证。涉及紧急操作时，务必要求对方自证身份，并通过官方渠道独立核实，避免在压力下做出不可逆的决定。

总结

本次事件再次暴露出行业在客户数据和资产保护方面的短板。平台应系统性地构建覆盖内部人员与外包服务的"社工防御体系"，将人为风险纳入整体安全战略。

一旦发现有组织、规模化的持续威胁，平台应迅速响应，主动排查漏洞、提醒用户防范、控制损害范围。只有在技术与组织层面双重应对，才能在复杂的安全环境中守住信任与底线。