社會工程攻擊：加密資產安全的隱形威脅

自2025年以來，針對某知名交易平台用戶的社交工程詐騙事件頻發，引發了行業廣泛關注。這類事件並非孤立個案，而是呈現出持續性和組織化的特徵。

5月15日，該交易平台發布公告，證實了此前關於內部存在"內鬼"的猜測。美國司法部已就此數據泄露事件展開調查。

歷史回顧

鏈上分析師Zach在5月7日的更新中指出:"僅過去一周，就有超4,500萬美元因社會工程詐騙從該平台用戶處被盜。"

過去一年中，Zach多次披露該平台用戶遭遇盜竊事件，個別案例損失高達上千萬美元。他在2月的詳細調查中稱，僅2024年12月至2025年1月間，此類騙局造成的損失已超6,500萬美元。該平台正面臨嚴重的"社工詐騙"危機，這類攻擊以年均3億美元的規模持續威脅用戶資產安全。

Zach還指出:

• 主導這類詐騙的團夥分爲兩類:一類是來自黑客圈的低級攻擊者，另一類是印度網路犯罪組織；
• 詐騙團夥主要針對美國用戶，採用標準化的作案手法和成熟的話術流程；
• 實際損失可能遠高於可見統計，因未包含未公開的客服工單和警方報案等信息。

騙局手法

在此次事件中，平台的技術系統未被攻破，詐騙者利用內部員工權限獲取了部分用戶敏感信息，包括姓名、地址、聯繫方式、帳戶數據、身分證照片等。詐騙者最終目的是通過社會工程手段誘導用戶轉帳。

這類攻擊改變了傳統的"撒網式"釣魚手段，轉向"精準打擊"，堪稱"量身定制"的社工詐騙。典型作案路徑如下:

1. 冒充官方客服聯繫用戶

詐騙者使用僞造電話系統(PBX)冒充平台客服，聲稱用戶"帳戶遭遇非法登入"或"檢測到提現異常"，營造緊急氛圍。隨後發送仿真的釣魚郵件或短信，包含虛假工單編號或"恢復流程"連結，引導用戶操作。這些連結可能指向複製的平台界面，甚至能發送看似來自官方域名的郵件。

2. 引導用戶下載自托管錢包

詐騙者以"保護資產"爲由，引導用戶將資金轉移至"安全錢包"，協助安裝自托管錢包，並指引將原本托管資產轉入新創建的錢包。

3. 誘導使用詐騙者提供的助記詞

詐騙者直接提供一組自己生成的助記詞，誘導用戶將其用作"官方新錢包"。

4. 詐騙者進行資金盜取

受害者在緊張、焦慮且信任"客服"的狀態下，極易落入陷阱。一旦資金轉入新錢包，詐騙者便可立即將其轉走。

此外，部分釣魚郵件聲稱"因集體訴訟裁定，平台將全面遷移至自托管錢包"，要求用戶在短期內完成資產遷移，增加了用戶的時間壓力。

據網路安全專家分析，這些攻擊往往組織化地進行策劃與實施:

• 詐騙工具鏈完善:使用PBX系統僞造來電號碼，借助Telegram機器人仿冒官方郵箱。
• 目標精準:依托被盜用戶數據鎖定目標，甚至借助AI處理數據、生成詐騙短信。
• 誘騙流程連貫:從電話、短信到郵件，詐騙路徑無縫銜接，持續誘導受害者進行"安全驗證"。

資金流向分析

鏈上反洗錢系統對部分詐騙者地址進行分析，發現這些詐騙者具備較強的鏈上操作能力:

• 攻擊目標覆蓋多種資產，主要爲BTC與ETH。
• BTC是當前主要詐騙目標，單筆獲利金額可達數百萬美元。
• 資金獲取後，迅速通過一套清洗流程進行資產兌換與轉移:
  • ETH類資產常通過DEX快速兌換爲穩定幣，再分散轉移。
  • BTC則主要通過跨鏈橋轉至以太坊，再兌換爲穩定幣規避追蹤。
• 部分詐騙所得尚處於"靜置"狀態，未被轉出。

應對措施

平台層面

• 定期推送反詐教育內容，提升用戶防範意識。
• 優化風控模型，引入"交互式異常行爲識別"，對可疑操作組合觸發審核機制。
• 規範客服渠道與驗證機制，明確唯一官方溝通渠道。

用戶層面

• 實施身分隔離策略，避免多平台共用同一聯繫方式。
• 啓用轉帳白名單與提現冷卻機制，降低緊急情況下的資金流失風險。
• 持續關注安全資訊，了解最新攻擊手法動態。
• 注意線下安全與隱私保護，提防人身安全威脅。

總之，面對社工詐騙，用戶應保持警惕，對緊急操作要求進行獨立核實，避免在壓力下做出不可逆的決定。

結語

本次事件再次暴露出行業在客戶數據和資產保護方面的短板。即便某些崗位不具備資金權限，也可能因疏忽或被策反造成嚴重後果。隨着平台規模擴大，人員安全管控的復雜度隨之提升，已成爲行業難以攻克的風險之一。

因此，平台除了強化技術安全外，還需構建覆蓋內部人員與外包服務的"社工防御體系"，將人爲風險納入整體安全戰略。同時，一旦發現系統性威脅，應及時響應並採取措施。只有在技術與組織層面雙管齊下，才能在復雜的安全環境中守住用戶信任。