社工騙局對 Coinbase 用戶的威脅及應對策略

近期，加密資產領域的社會工程攻擊已成爲用戶資金安全的重大隱患。自2025年以來，針對某交易平台用戶的社交工程詐騙事件頻發，引起了業內廣泛關注。從社區討論可見，這類事件並非個案，而是呈現出持續性和組織化特徵。

5月15日，某交易平台發布公告，證實了此前關於平台存在"內鬼"的猜測。美國司法部已就該數據泄露事件展開調查。

本文將通過整理多位安全研究者和受害者提供的信息，揭示詐騙者的主要作案手法，並從平台和用戶兩個角度探討有效應對策略。

歷史回顧

安全研究員Zach在5月7日的社交媒體更新中指出："僅過去一周，又有超4,500萬美元因社會工程詐騙從某交易平台用戶處被盜。"

過去一年中，Zach多次在社交平台披露該交易平台用戶被盜事件，個別受害者損失高達上千萬美元。Zach在2025年2月發布的詳細調查稱，僅2024年12月至2025年1月間，此類騙局造成的資金損失總額已超6,500萬美元。他還揭示該平台正面臨嚴重的"社工詐騙"危機，這類攻擊以年均3億美元的規模持續侵害用戶資產安全。

Zach指出：

• 主導這類詐騙的團夥主要分爲兩類：一類是來自特定圈子的低級攻擊者，另一類則是位於印度的網路犯罪組織；
• 詐騙團夥的攻擊目標以美國用戶爲主，作案手法標準化、話術流程成熟；
• 實際損失金額可能遠高於鏈上可見統計，因未包含無法獲取的客服工單和警方報案記錄等未公開信息。

騙局手法

在此次事件中，該交易平台的技術系統並未被攻破，詐騙者是利用了內部員工的權限，獲取了部分用戶的敏感信息。這些信息包括：姓名、地址、聯繫方式、帳戶數據、身分證照片等。詐騙者最終目的是利用社會工程手段引導用戶轉帳。

這類攻擊方式，改變了傳統"撒網式"的釣魚手段，而是轉向"精準打擊"，堪稱"量身定制"的社工詐騙。典型作案路徑如下：

1. 以"官方客服"身分聯繫用戶

詐騙者使用僞造電話系統冒充平台客服，打電話給用戶稱其"帳戶遭遇非法登入"，或"檢測到提現異常"，營造緊急氛圍。他們隨後會發送仿真的釣魚郵件或短信，其中包含虛假的工單編號或"恢復流程"連結，並引導用戶操作。這些連結可能指向複製的平台界面，甚至能發送看似來自官方域名的郵件，部分郵件利用了重定向技術繞過安全防護。

2. 引導用戶下載官方錢包

詐騙者會以"保護資產"爲由，引導用戶轉移資金至"安全錢包"，還會協助用戶安裝官方錢包，並指引其將原本托管在平台上的資產，轉入一個新創建的錢包。

3. 誘導用戶使用詐騙者提供的助記詞

與傳統"騙取助記詞"不同，詐騙者直接提供一組他們自己生成的助記詞，誘導用戶將其用作"官方新錢包"。

4.詐騙者進行資金盜取

受害者在緊張、焦慮且信任"客服"的狀態下，極易落入陷阱。在他們看來，"官方提供"的新錢包自然要比"疑似被入侵"的舊錢包更安全。結果是，一旦資金轉入這個新錢包，詐騙者便可立即將其轉走。"非你所掌控的密鑰，即非你所擁有的幣"——在社會工程攻擊中，這一理念再次被血淋淋地驗證。

此外，有的釣魚郵件聲稱"因集體訴訟裁定，平台將全面遷移至自托管錢包"，並要求用戶在4月1日前完成資產遷移。用戶在緊迫的時間壓力和"官方指令"的心理暗示下，更容易配合操作。

據安全研究員表示，這些攻擊往往組織化地進行策劃與實施：

• 詐騙工具鏈完善：騙子使用PBX系統僞造來電號碼，模擬官方客服來電。發送釣魚郵件時會借助社交平台上的機器人仿冒官方郵箱，附帶"帳戶恢復指南"引導轉帳。
• 目標精準：騙子依托從社交渠道和暗網購買的被盜用戶數據，鎖定美區用戶爲主要目標，甚至還會借助AI工具處理被盜數據，將電話號碼分割重組，批量生成TXT文件，再通過爆破軟件發送短信詐騙。
• 誘騙流程連貫：從電話、短信到郵件，詐騙路徑通常無縫連貫，常見釣魚措辭包括"帳戶收到提現請求"、"密碼已被重置"、"帳戶出現異常登入"等，持續誘導受害者進行"安全驗證"，直至完成錢包轉移。

鏈上分析

通過鏈上反洗錢與追蹤系統對部分詐騙者地址進行分析，發現這些詐騙者具備較強的鏈上操作能力，以下是一些關鍵信息：

詐騙者的攻擊目標覆蓋用戶持有的多種資產，這些地址的活躍時間集中在2024年12月至2025年5月之間，目標資產主要爲BTC與ETH。BTC是當前最主要的詐騙目標，多個地址一次性獲利金額高達數百枚BTC，單筆價值數百萬美元。

資金獲取後，詐騙者迅速利用一套清洗流程對資產進行兌換與轉移，主要模式如下：

• ETH類資產常通過某DEX快速兌換爲穩定幣，再分散轉移至多個新地址，部分資產進入中心化交易平台；
• BTC則主要通過跨鏈橋跨鏈至以太坊，再兌換爲穩定幣，規避追蹤風險。

多個詐騙地址在收到穩定幣後仍處於"靜置"狀態，尚未被轉出。

爲避免自己的地址與可疑地址發生交互，從而面臨資產被凍結的風險，建議用戶在交易前使用鏈上反洗錢與追蹤系統對目標地址進行風險檢測，以有效規避潛在威脅。

應對措施

平台

當前主流安全手段更多是"技術層"的防護，而社工詐騙往往繞過這些機制，直擊用戶心理和行爲漏洞。因此，建議平台將用戶教育、安全訓練、可用性設計一體化，建立一套"面向人"的安全防線。

• 定期推送反詐教育內容：通過App彈窗、交易確認界面、郵件等途徑提升用戶防釣魚能力；
• 優化風控模型，引入"交互式異常行爲識別"：大多數社工詐騙都會在短時間內誘導用戶完成一系列操作（如轉帳、白名單變更、設備綁定等）。平台應基於行爲鏈模型識別可疑交互組合（如"頻繁交互 + 新增地址 + 大額提現"），觸發冷靜期或人工復審機制。
• 規範客服渠道與驗證機制：詐騙者常冒充客服迷惑用戶，平台應統一電話、短信、郵件模板，並提供"客服驗證入口"，明確唯一官方溝通渠道，避免混淆。

用戶

• 實施身分隔離策略：避免多個平台共用同一郵箱、手機號，降低連帶風險，可以使用泄露查詢工具定期檢查郵箱是否已泄露。
• 啓用轉帳白名單與提現冷卻機制：預設可信地址，降低緊急情況下的資金流失風險。
• 持續關注安全資訊：通過安全公司、媒體、交易平台等渠道，了解攻擊手法最新動態，保持警覺。目前，多家安全機構正在打造Web3釣魚演練平台，該平台將模擬多種典型釣魚手法，包括社工投毒、籤名釣魚、惡意合約交互等，並結合歷史討論中收集的真實案例，持續更新場景內容。讓用戶在無風險環境下提升識別與應對能力。
• 注意線下風險與隱私保護：個人信息泄露也可能引發人身安全問題。

這並非杞人憂天，今年以來，加密從業者/用戶已遭遇多起威脅人身安全的事件。鑑於此次泄露的數據包含姓名、地址、聯繫方式、帳戶數據、身分證照片等內容，相關用戶在線下也需提高警惕，注意安全。

總而言之，保持懷疑，持續驗證。凡涉及緊急操作，請務必要求對方自證身分，並通過官方渠道獨立核實，避免在壓力下做出不可逆的決定。

總結

本次事件再次暴露出面對日益成熟的社工攻擊手法，行業在客戶數據和資產保護方面依然存在明顯短板。值得警惕的是，即便平台的相關崗位不具備資金權限，缺乏足夠的安全意識和能力，也可能因無意泄露或被策反而造成嚴重後果。隨着平台體量不斷擴大，人員安全管控的復雜度隨之提升，已成爲行業最難攻克的風險之一。因此，平台在強化鏈上安全機制的同時，也必須系統性地構建覆蓋內部人員與外包服務的"社工防御體系"，將人爲風險納入整體安全戰略之中。

此外，一旦發現攻擊並非孤立事件，而是有組織、有規模的持續威脅，平台應第一時間響應，主動排查潛在漏洞、提醒用戶防範、控制損害範圍。唯有在技術與組織層面雙重應對，才能在愈發復雜的安全環境中，真正守住信任與底線。