📢 #Gate观点任务# 第一期精彩启程!调研 Palio (PAL) 项目,在Gate广场发布您的看法观点,瓜分 $300 PAL!
💰️ 选取15名优质发帖用户,每人轻松赢取 $20 PAL!
👉 参与方式:
1. 调研$PAL项目,发表你对项目的见解。
2. 带上$PAL交易链接。
3. 推广$PAL生态周系列活动:
为庆祝PAL上线Gate交易,平台特推出HODLer Airdrop、CandyDrop、VIP Airdrop、Alpha及余币宝等多项PAL专属活动,回馈广大用户。请在帖文中积极宣传本次系列活动,详情:https://www.gate.com/announcements/article/45976
建议项目调研的主题:
🔹 Palio 是什么?
🔹 $PAL 代币经济模型如何运作?
🔹 如何参与 $PAL生态周系列活动?
您可以选择以上一个或多个方向发表看法,也可以跳出框架,分享主题以外的独到见解。
注意:帖子不得包含除 #Gate观点任务# 和 #PAL# 之外的其他标签,并确保你的帖子至少有 60 字,并获得至少 3 个点赞,否则将无法获得奖励。
⚠️ 重复内容的帖子将不会被选取,请分享属于你独特的观点。
⏰ 活动时间:截止至 2025年7月11日 24:00(UTC+8)
某交易平台遭遇大规模社工诈骗 用户损失已超4500万美元
社工攻击威胁加密资产安全,Coinbase用户成主要受害者
近年来,社会工程攻击已成为加密资产领域用户资金安全的重大威胁。自2025年以来,针对某交易平台用户的社交工程诈骗事件频发,引发了广泛关注。从社区讨论可见,这类事件并非个案,而是一种具有持续性和组织化特征的骗局类型。
5月15日,某交易平台发布公告,证实了此前关于平台内部存在"内鬼"的猜测。据悉,美国司法部已启动针对该起数据泄露事件的调查。
本文将通过整理多位安全研究者和受害者提供的信息,披露诈骗者的主要作案手法,并从平台和用户两个视角出发,探讨如何有效应对此类骗局。
历史分析
链上侦探Zach在5月7日的通讯更新中称:"仅过去一周,又有超4,500万美元因社会工程诈骗从某交易平台用户处盗走。"
过去一年中,Zach多次披露该平台用户被盗事件,个别受害者的损失高达上千万美元。他在2025年2月曾发布详细调查称,仅2024年12月至2025年1月间,因类似骗局被盗的资金总额已超6,500万美元,并揭示该平台正面临一场严重的"社工诈骗"危机,这类攻击正以年均3亿美元的规模持续侵害用户资产安全。他还指出:
骗局手法
在此次事件中,平台的技术系统并未被攻破,诈骗者是利用了内部员工的权限,获取了部分用户的敏感信息。这些信息包括:姓名、地址、联系方式、账户数据、身份证照片等。诈骗者最终目的是利用社会工程手段引导用户转账。
这一类型的攻击方式,改变了传统"撒网式"的钓鱼手段,而是转向"精准打击",堪称"量身定制"的社工诈骗。典型作案路径如下:
1. 以"官方客服"身份联系用户
诈骗者使用伪造电话系统冒充平台客服,打电话给用户称其"账户遭遇非法登录",或"检测到提现异常",营造紧急氛围。他们随后会发送仿真的钓鱼邮件或短信,其中包含虚假的工单编号或"恢复流程"链接,并引导用户操作。这些链接可能指向克隆的平台界面,甚至能发送看似来自官方域名的邮件,部分邮件利用了重定向技术绕过安全防护。
2. 引导用户下载特定钱包
诈骗者会以"保护资产"为由,引导用户转移资金至"安全钱包",还会协助用户安装特定钱包,并指引其将原本托管在平台上的资产,转入一个新创建的钱包。
3. 诱导用户使用诈骗者提供的助记词
与传统"骗取助记词"不同,诈骗者直接提供一组他们自己生成的助记词,诱导用户将其用作"官方新钱包"。
4.诈骗者进行资金盗取
受害者在紧张、焦虑且信任"客服"的状态下,极易落入陷阱。在他们看来,"官方提供"的新钱包自然要比"疑似被入侵"的旧钱包更安全。结果是,一旦资金转入这个新钱包,诈骗者便可立即将其转走。"非你所控即非你所有"这一理念再次被血淋淋地验证。
此外,有的钓鱼邮件声称"因集体诉讼裁定,平台将全面迁移至自托管钱包",并要求用户在4月1日前完成资产迁移。用户在紧迫的时间压力和"官方指令"的心理暗示下,更容易配合操作。
据安全研究者表示,这些攻击往往组织化地进行策划与实施:
链上分析
我们对部分诈骗者地址进行分析,发现这些诈骗者具备较强的链上操作能力,以下是一些关键信息:
诈骗者的攻击目标覆盖用户持有的多种资产,这些地址的活跃时间集中在2024年12月至2025年5月之间,目标资产主要为BTC与ETH。BTC是当前最主要的诈骗目标,多个地址一次性获利金额高达数百枚BTC,单笔价值数百万美元。
资金获取后,诈骗者迅速利用一套清洗流程对资产进行兑换与转移,主要模式如下:
ETH类资产常通过某DEX快速兑换为DAI或USDT,再分散转移至多个新地址,部分资产进入中心化交易平台;
BTC则主要通过跨链桥跨链至以太坊,再兑换为DAI或USDT,规避追踪风险。
多个诈骗地址在收到DAI或USDT后仍处于"静置"状态,尚未被转出。
为避免自己的地址与可疑地址发生交互,从而面临资产被冻结的风险,建议用户在交易前对目标地址进行风险检测,以有效规避潜在威胁。
应对措施
平台
当前主流安全手段更多是"技术层"的防护,而社工诈骗往往绕过这些机制,直击用户心理和行为漏洞。因此,建议平台将用户教育、安全训练、可用性设计一体化,建立一套"面向人"的安全防线。
用户
实施身份隔离策略:避免多个平台共用同一邮箱、手机号,降低连带风险,可以使用泄露查询工具定期检查邮箱是否已泄露。
启用转账白名单与提现冷却机制:预设可信地址,降低紧急情况下的资金流失风险。
持续关注安全资讯:通过安全公司、媒体、交易平台等渠道,了解攻击手法最新动态,保持警觉。目前,多家安全机构打造的Web3钓鱼演练平台即将上线,该平台将模拟多种典型钓鱼手法,包括社工投毒、签名钓鱼、恶意合约交互等,并结合历史案例,持续更新场景内容。让用户在无风险环境下提升识别与应对能力。
注意线下风险与隐私保护:个人信息泄露也可能引发人身安全问题。
这并非杞人忧天,今年以来,加密从业者/用户已遭遇多起威胁人身安全的事件。鉴于此次泄露的数据包含姓名、地址、联系方式、账户数据、身份证照片等内容,相关用户在线下也需提高警惕,注意安全。
总而言之,保持怀疑,持续验证。凡涉及紧急操作,请务必要求对方自证身份,并通过官方渠道独立核实,避免在压力下做出不可逆的决定。
总结
本次事件再次暴露出面对日益成熟的社工攻击手法,行业在客户数据和资产保护方面依然存在明显短板。值得警惕的是,即便平台的相关岗位不具备资金权限,缺乏足够的安全意识和能力,也可能因无意泄露或被策反而造成严重后果。随着平台体量不断扩大,人员安全管控的复杂度随之提升,已成为行业最难攻克的风险之一。因此,平台在强化链上安全机制的同时,也必须系统性地构建覆盖内部人员与外包服务的"社工防御体系",将人为风险纳入整体安全战略之中。
此外,一旦发现攻击并非孤立事件,而是有组织、有规模的持续威胁,平台应第一时间响应,主动排查潜在漏洞、提醒用户防范、控制损害范围。唯有在技术与组织层面双重应对,才能在愈发复杂的安全环境中,真正守住信任与底线。