🎉【Gate 3000萬紀念】曬出我的Gate時刻,解鎖限量好禮!
Gate用戶突破3000萬!這不僅是數字,更是我們共同的故事。
還記得第一次開通帳號的激動,搶購成功的喜悅,或陪伴你的Gate週邊嗎?
📸 參與 #我的Gate时刻# ,在Gate廣場曬出你的故事,一起見證下一個3000萬!
✅ 參與方式:
1️⃣ 帶話題 #我的Gate时刻# ,發布包含Gate元素的照片或視頻
2️⃣ 搭配你的Gate故事、祝福或感言更佳
3️⃣ 分享至Twitter(X)可參與瀏覽量前10額外獎勵
推特回鏈請填表單:https://www.gate.com/questionnaire/6872
🎁 獨家獎勵:
🏆 創意大獎(3名):Gate × F1紅牛聯名賽車模型一輛
👕 共創紀念獎(10名): 國際米蘭同款球員衛衣
🥇 參與獎(50名):Gate 品牌抱枕
📣 分享獎(10名):Twitter前10瀏覽量,送Gate × 國米小夜燈!
*海外用戶紅牛聯名賽車折合爲 $200 合約體驗券,國米同款球衣折合爲 $50 合約體驗券,國米小夜燈折合爲 $30 合約體驗券,品牌抱枕折合爲 $20 合約體驗券發放
🧠 創意提示:不限元素內容風格,曬圖帶有如Gate logo、Gate色彩、週邊產品、GT圖案、活動紀念品、活動現場圖等均可參與!
活動截止於7月25日 24:00 UTC+8
3
某交易平台遭遇大規模社工詐騙 用戶損失已超4500萬美元
社工攻擊威脅加密資產安全,Coinbase用戶成主要受害者
近年來,社會工程攻擊已成爲加密資產領域用戶資金安全的重大威脅。自2025年以來,針對某交易平台用戶的社交工程詐騙事件頻發,引發了廣泛關注。從社區討論可見,這類事件並非個案,而是一種具有持續性和組織化特徵的騙局類型。
5月15日,某交易平台發布公告,證實了此前關於平台內部存在"內鬼"的猜測。據悉,美國司法部已啓動針對該起數據泄露事件的調查。
本文將通過整理多位安全研究者和受害者提供的信息,披露詐騙者的主要作案手法,並從平台和用戶兩個視角出發,探討如何有效應對此類騙局。
歷史分析
鏈上偵探Zach在5月7日的通訊更新中稱:"僅過去一周,又有超4,500萬美元因社會工程詐騙從某交易平台用戶處盜走。"
過去一年中,Zach多次披露該平台用戶被盜事件,個別受害者的損失高達上千萬美元。他在2025年2月曾發布詳細調查稱,僅2024年12月至2025年1月間,因類似騙局被盜的資金總額已超6,500萬美元,並揭示該平台正面臨一場嚴重的"社工詐騙"危機,這類攻擊正以年均3億美元的規模持續侵害用戶資產安全。他還指出:
騙局手法
在此次事件中,平台的技術系統並未被攻破,詐騙者是利用了內部員工的權限,獲取了部分用戶的敏感信息。這些信息包括:姓名、地址、聯繫方式、帳戶數據、身分證照片等。詐騙者最終目的是利用社會工程手段引導用戶轉帳。
這一類型的攻擊方式,改變了傳統"撒網式"的釣魚手段,而是轉向"精準打擊",堪稱"量身定制"的社工詐騙。典型作案路徑如下:
1. 以"官方客服"身分聯繫用戶
詐騙者使用僞造電話系統冒充平台客服,打電話給用戶稱其"帳戶遭遇非法登入",或"檢測到提現異常",營造緊急氛圍。他們隨後會發送仿真的釣魚郵件或短信,其中包含虛假的工單編號或"恢復流程"連結,並引導用戶操作。這些連結可能指向複製的平台界面,甚至能發送看似來自官方域名的郵件,部分郵件利用了重定向技術繞過安全防護。
2. 引導用戶下載特定錢包
詐騙者會以"保護資產"爲由,引導用戶轉移資金至"安全錢包",還會協助用戶安裝特定錢包,並指引其將原本托管在平台上的資產,轉入一個新創建的錢包。
3. 誘導用戶使用詐騙者提供的助記詞
與傳統"騙取助記詞"不同,詐騙者直接提供一組他們自己生成的助記詞,誘導用戶將其用作"官方新錢包"。
4.詐騙者進行資金盜取
受害者在緊張、焦慮且信任"客服"的狀態下,極易落入陷阱。在他們看來,"官方提供"的新錢包自然要比"疑似被入侵"的舊錢包更安全。結果是,一旦資金轉入這個新錢包,詐騙者便可立即將其轉走。"非你所控即非你所有"這一理念再次被血淋淋地驗證。
此外,有的釣魚郵件聲稱"因集體訴訟裁定,平台將全面遷移至自托管錢包",並要求用戶在4月1日前完成資產遷移。用戶在緊迫的時間壓力和"官方指令"的心理暗示下,更容易配合操作。
據安全研究者表示,這些攻擊往往組織化地進行策劃與實施:
鏈上分析
我們對部分詐騙者地址進行分析,發現這些詐騙者具備較強的鏈上操作能力,以下是一些關鍵信息:
詐騙者的攻擊目標覆蓋用戶持有的多種資產,這些地址的活躍時間集中在2024年12月至2025年5月之間,目標資產主要爲BTC與ETH。BTC是當前最主要的詐騙目標,多個地址一次性獲利金額高達數百枚BTC,單筆價值數百萬美元。
資金獲取後,詐騙者迅速利用一套清洗流程對資產進行兌換與轉移,主要模式如下:
ETH類資產常通過某DEX快速兌換爲DAI或USDT,再分散轉移至多個新地址,部分資產進入中心化交易平台;
BTC則主要通過跨鏈橋跨鏈至以太坊,再兌換爲DAI或USDT,規避追蹤風險。
多個詐騙地址在收到DAI或USDT後仍處於"靜置"狀態,尚未被轉出。
爲避免自己的地址與可疑地址發生交互,從而面臨資產被凍結的風險,建議用戶在交易前對目標地址進行風險檢測,以有效規避潛在威脅。
應對措施
平台
當前主流安全手段更多是"技術層"的防護,而社工詐騙往往繞過這些機制,直擊用戶心理和行爲漏洞。因此,建議平台將用戶教育、安全訓練、可用性設計一體化,建立一套"面向人"的安全防線。
用戶
實施身分隔離策略:避免多個平台共用同一郵箱、手機號,降低連帶風險,可以使用泄露查詢工具定期檢查郵箱是否已泄露。
啓用轉帳白名單與提現冷卻機制:預設可信地址,降低緊急情況下的資金流失風險。
持續關注安全資訊:通過安全公司、媒體、交易平台等渠道,了解攻擊手法最新動態,保持警覺。目前,多家安全機構打造的Web3釣魚演練平台即將上線,該平台將模擬多種典型釣魚手法,包括社工投毒、籤名釣魚、惡意合約交互等,並結合歷史案例,持續更新場景內容。讓用戶在無風險環境下提升識別與應對能力。
注意線下風險與隱私保護:個人信息泄露也可能引發人身安全問題。
這並非杞人憂天,今年以來,加密從業者/用戶已遭遇多起威脅人身安全的事件。鑑於此次泄露的數據包含姓名、地址、聯繫方式、帳戶數據、身分證照片等內容,相關用戶在線下也需提高警惕,注意安全。
總而言之,保持懷疑,持續驗證。凡涉及緊急操作,請務必要求對方自證身分,並通過官方渠道獨立核實,避免在壓力下做出不可逆的決定。
總結
本次事件再次暴露出面對日益成熟的社工攻擊手法,行業在客戶數據和資產保護方面依然存在明顯短板。值得警惕的是,即便平台的相關崗位不具備資金權限,缺乏足夠的安全意識和能力,也可能因無意泄露或被策反而造成嚴重後果。隨着平台體量不斷擴大,人員安全管控的復雜度隨之提升,已成爲行業最難攻克的風險之一。因此,平台在強化鏈上安全機制的同時,也必須系統性地構建覆蓋內部人員與外包服務的"社工防御體系",將人爲風險納入整體安全戰略之中。
此外,一旦發現攻擊並非孤立事件,而是有組織、有規模的持續威脅,平台應第一時間響應,主動排查潛在漏洞、提醒用戶防範、控制損害範圍。唯有在技術與組織層面雙重應對,才能在愈發復雜的安全環境中,真正守住信任與底線。