社工攻击威胁加密资产安全，Coinbase用户成主要受害者

近年来，社会工程攻击已成为加密资产领域用户资金安全的重大威胁。自2025年以来，针对某交易平台用户的社交工程诈骗事件频发，引发了广泛关注。从社区讨论可见，这类事件并非个案，而是一种具有持续性和组织化特征的骗局类型。

5月15日，某交易平台发布公告，证实了此前关于平台内部存在"内鬼"的猜测。据悉，美国司法部已启动针对该起数据泄露事件的调查。

本文将通过整理多位安全研究者和受害者提供的信息，披露诈骗者的主要作案手法，并从平台和用户两个视角出发，探讨如何有效应对此类骗局。

历史分析

链上侦探Zach在5月7日的通讯更新中称："仅过去一周，又有超4,500万美元因社会工程诈骗从某交易平台用户处盗走。"

过去一年中，Zach多次披露该平台用户被盗事件，个别受害者的损失高达上千万美元。他在2025年2月曾发布详细调查称，仅2024年12月至2025年1月间，因类似骗局被盗的资金总额已超6,500万美元，并揭示该平台正面临一场严重的"社工诈骗"危机，这类攻击正以年均3亿美元的规模持续侵害用户资产安全。他还指出：

• 主导这类诈骗的团伙主要分为两类：一类是来自特定圈子的低级攻击者，另一类则是位于印度的网络犯罪组织；
• 诈骗团伙的攻击目标以美国用户为主，作案手法标准化、话术流程成熟；
• 实际损失金额可能远高于链上可见统计，因未包含无法获取的客服工单和警方报案记录等未公开信息。

骗局手法

在此次事件中，平台的技术系统并未被攻破，诈骗者是利用了内部员工的权限，获取了部分用户的敏感信息。这些信息包括：姓名、地址、联系方式、账户数据、身份证照片等。诈骗者最终目的是利用社会工程手段引导用户转账。

这一类型的攻击方式，改变了传统"撒网式"的钓鱼手段，而是转向"精准打击"，堪称"量身定制"的社工诈骗。典型作案路径如下：

1. 以"官方客服"身份联系用户

诈骗者使用伪造电话系统冒充平台客服，打电话给用户称其"账户遭遇非法登录"，或"检测到提现异常"，营造紧急氛围。他们随后会发送仿真的钓鱼邮件或短信，其中包含虚假的工单编号或"恢复流程"链接，并引导用户操作。这些链接可能指向克隆的平台界面，甚至能发送看似来自官方域名的邮件，部分邮件利用了重定向技术绕过安全防护。

2. 引导用户下载特定钱包

诈骗者会以"保护资产"为由，引导用户转移资金至"安全钱包"，还会协助用户安装特定钱包，并指引其将原本托管在平台上的资产，转入一个新创建的钱包。

3. 诱导用户使用诈骗者提供的助记词

与传统"骗取助记词"不同，诈骗者直接提供一组他们自己生成的助记词，诱导用户将其用作"官方新钱包"。

4.诈骗者进行资金盗取

受害者在紧张、焦虑且信任"客服"的状态下，极易落入陷阱。在他们看来，"官方提供"的新钱包自然要比"疑似被入侵"的旧钱包更安全。结果是，一旦资金转入这个新钱包，诈骗者便可立即将其转走。"非你所控即非你所有"这一理念再次被血淋淋地验证。

此外，有的钓鱼邮件声称"因集体诉讼裁定，平台将全面迁移至自托管钱包"，并要求用户在4月1日前完成资产迁移。用户在紧迫的时间压力和"官方指令"的心理暗示下，更容易配合操作。

据安全研究者表示，这些攻击往往组织化地进行策划与实施：

• 诈骗工具链完善：骗子使用特定系统伪造来电号码，模拟官方客服来电。发送钓鱼邮件时会借助社交平台上的机器人仿冒官方邮箱，附带"账户恢复指南"引导转账。
• 目标精准：骗子依托从通讯渠道和暗网购买的被盗用户数据，锁定美区用户为主要目标，甚至还会借助AI处理被盗数据，将电话号码分割重组，批量生成文本文件，再通过爆破软件发送短信诈骗。
• 诱骗流程连贯：从电话、短信到邮件，诈骗路径通常无缝连贯，常见钓鱼措辞包括"账户收到提现请求"、"密码已被重置"、"账户出现异常登录"等，持续诱导受害者进行"安全验证"，直至完成钱包转移。

链上分析

我们对部分诈骗者地址进行分析，发现这些诈骗者具备较强的链上操作能力，以下是一些关键信息：

诈骗者的攻击目标覆盖用户持有的多种资产，这些地址的活跃时间集中在2024年12月至2025年5月之间，目标资产主要为BTC与ETH。BTC是当前最主要的诈骗目标，多个地址一次性获利金额高达数百枚BTC，单笔价值数百万美元。

资金获取后，诈骗者迅速利用一套清洗流程对资产进行兑换与转移，主要模式如下：

• ETH类资产常通过某DEX快速兑换为DAI或USDT，再分散转移至多个新地址，部分资产进入中心化交易平台；

• BTC则主要通过跨链桥跨链至以太坊，再兑换为DAI或USDT，规避追踪风险。

多个诈骗地址在收到DAI或USDT后仍处于"静置"状态，尚未被转出。

为避免自己的地址与可疑地址发生交互，从而面临资产被冻结的风险，建议用户在交易前对目标地址进行风险检测，以有效规避潜在威胁。

应对措施

平台

当前主流安全手段更多是"技术层"的防护，而社工诈骗往往绕过这些机制，直击用户心理和行为漏洞。因此，建议平台将用户教育、安全训练、可用性设计一体化，建立一套"面向人"的安全防线。

• 定期推送反诈教育内容：通过App弹窗、交易确认界面、邮件等途径提升用户防钓鱼能力；
• 优化风控模型，引入"交互式异常行为识别"：大多数社工诈骗都会在短时间内诱导用户完成一系列操作（如转账、白名单变更、设备绑定等）。平台应基于行为链模型识别可疑交互组合（如"频繁交互 + 新增地址 + 大额提现"），触发冷静期或人工复审机制。
• 规范客服渠道与验证机制：诈骗者常冒充客服迷惑用户，平台应统一电话、短信、邮件模板，并提供"客服验证入口"，明确唯一官方沟通渠道，避免混淆。

用户

• 实施身份隔离策略：避免多个平台共用同一邮箱、手机号，降低连带风险，可以使用泄露查询工具定期检查邮箱是否已泄露。

• 启用转账白名单与提现冷却机制：预设可信地址，降低紧急情况下的资金流失风险。

• 持续关注安全资讯：通过安全公司、媒体、交易平台等渠道，了解攻击手法最新动态，保持警觉。目前，多家安全机构打造的Web3钓鱼演练平台即将上线，该平台将模拟多种典型钓鱼手法，包括社工投毒、签名钓鱼、恶意合约交互等，并结合历史案例，持续更新场景内容。让用户在无风险环境下提升识别与应对能力。

• 注意线下风险与隐私保护：个人信息泄露也可能引发人身安全问题。

这并非杞人忧天，今年以来，加密从业者/用户已遭遇多起威胁人身安全的事件。鉴于此次泄露的数据包含姓名、地址、联系方式、账户数据、身份证照片等内容，相关用户在线下也需提高警惕，注意安全。

总而言之，保持怀疑，持续验证。凡涉及紧急操作，请务必要求对方自证身份，并通过官方渠道独立核实，避免在压力下做出不可逆的决定。

总结

本次事件再次暴露出面对日益成熟的社工攻击手法，行业在客户数据和资产保护方面依然存在明显短板。值得警惕的是，即便平台的相关岗位不具备资金权限，缺乏足够的安全意识和能力，也可能因无意泄露或被策反而造成严重后果。随着平台体量不断扩大，人员安全管控的复杂度随之提升，已成为行业最难攻克的风险之一。因此，平台在强化链上安全机制的同时，也必须系统性地构建覆盖内部人员与外包服务的"社工防御体系"，将人为风险纳入整体安全战略之中。

此外，一旦发现攻击并非孤立事件，而是有组织、有规模的持续威胁，平台应第一时间响应，主动排查潜在漏洞、提醒用户防范、控制损害范围。唯有在技术与组织层面双重应对，才能在愈发复杂的安全环境中，真正守住信任与底线。