凡涉及緊急操作,請務必要求對方自證身份,並通過官方渠道獨立核實,避免在壓力下做出不可逆的決定。
作者:Liz & Lisa
編輯:Sherry
背景
在加密資產領域,社會工程攻擊正成為用戶資金安全的重大威脅。自 2025 年以來,大量針對 Coinbase 用戶的社交工程詐騙事件不斷浮出水面,引發了社區的廣泛關注。從社區的討論不難看出,此類事件並非孤立個案,而是一種具有持續性和組織化特徵的騙局類型。
5 月 15 日,Coinbase 發佈公告,證實了此前關於 Coinbase 裡有 “內鬼” 的種種猜測。據悉,美國司法部 (DOJ) 已啟動針對該起數據洩露事件的調查。
本文將通過整理多位安全研究者和受害者提供的信息,披露詐騙者的主要作案手法,並從平臺和用戶兩個視角出發,探討如何有效應對此類騙局。
歷史分析
“僅過去一週,又有超 4,500 萬美元因社會工程詐騙從 Coinbase 用戶處盜走”,鏈上偵探 Zach 在 5 月 7 日的 Telegram 更新中這樣寫道。
過去一年中,Zach 多次在其 Telegram 頻道和 X 平臺上披露 Coinbase 用戶被盜事件,個別受害者的損失高達上千萬美元。Zach 在 2025 年 2 月曾發佈詳細調查稱,僅 2024 年 12 月至 2025 年 1 月間,因類似騙局被盜的資金總額已超 6,500 萬美元,並揭示 Coinbase 正面臨一場嚴重的 “社工詐騙” 危機,這類攻擊正以年均 3 億美元的規模持續侵害用戶資產安全。他還指出:
- 主導這類詐騙的團伙主要分為兩類:一類是來自 Com 圈的低級攻擊者 (skids),另一類則是位於印度的網絡犯罪組織;
- 詐騙團伙的攻擊目標以美國用戶為主,作案手法標準化、話術流程成熟;
- 實際損失金額可能遠高於鏈上可見統計,因未包含無法獲取的 Coinbase 客服工單和警方報案記錄等未公開信息。
騙局手法
在此次事件中,Coinbase 的技術系統並未被攻破,詐騙者是利用了內部員工的權限,獲取了部分用戶的敏感信息。這些信息包括:姓名、地址、聯繫方式、賬戶數據、身份證照片等。詐騙者最終目的是利用社會工程手段引導用戶轉賬。
這一類型的攻擊方式,改變了傳統 “撒網式” 的釣魚手段,而是轉向 “精準打擊”,堪稱 “量身定製” 的社工詐騙。典型作案路徑如下:
1. 以 “官方客服” 身份聯繫用戶
詐騙者使用偽造電話系統 (PBX) 冒充 Coinbase 客服,打電話給用戶稱其 “賬戶遭遇非法登錄”,或 “檢測到提現異常”,營造緊急氛圍。他們隨後會發送仿真的釣魚郵件或短信,其中包含虛假的工單編號或 “恢復流程” 鏈接,並引導用戶操作。這些鏈接可能指向克隆的 Coinbase 界面,甚至能發送看似來自官方域名的郵件,部分郵件利用了重定向技術繞過安全防護。
2. 引導用戶下載 Coinbase Wallet
詐騙者會以 “保護資產” 為由,引導用戶轉移資金至 “安全錢包”,還會協助用戶安裝 Coinbase Wallet,並指引其將原本託管在 Coinbase 上的資產,轉入一個新創建的錢包。
3. 誘導用戶使用詐騙者提供的助記詞
與傳統 “騙取助記詞” 不同,詐騙者直接提供一組他們自己生成的助記詞,誘導用戶將其用作 “官方新錢包”。
4. 詐騙者進行資金盜取
受害者在緊張、焦慮且信任 “客服” 的狀態下,極易落入陷阱 —— 在他們看來,“官方提供” 的新錢包自然要比 “疑似被入侵” 的舊錢包更安全。結果是,一旦資金轉入這個新錢包,詐騙者便可立即將其轉走。Not your keys, not your coins. —— 在社會工程攻擊中,這一理念再次被血淋淋地驗證。
此外,有的釣魚郵件聲稱 “因集體訴訟裁定,Coinbase 將全面遷移至自託管錢包”,並要求用戶在 4 月 1 日前完成資產遷移。用戶在緊迫的時間壓力和 “官方指令” 的心理暗示下,更容易配合操作。
據 @NanoBaiter 表示,這些攻擊往往組織化地進行策劃與實施:
- 詐騙工具鏈完善:騙子使用 PBX 系統(如 FreePBX、Bitrix24)偽造來電號碼,模擬官方客服來電。發送釣魚郵件時會藉助 Telegram 中的 @spoofmailer_bot 仿冒 Coinbase 官方郵箱,附帶 “賬戶恢復指南” 引導轉賬。
- 目標精準:騙子依託從 Telegram 渠道和暗網購買的被盜用戶數據(如 “5k COINBASE US2”、“100K_USA-gemini_sample”),鎖定美區 Coinbase 用戶為主要目標,甚至還會藉助 ChatGPT 處理被盜數據,將電話號碼分割重組,批量生成 TXT 文件,再通過爆破軟件發送短信詐騙。
- 誘騙流程連貫:從電話、短信到郵件,詐騙路徑通常無縫連貫,常見釣魚措辭包括 “賬戶收到提現請求”、“密碼已被重置”、“賬戶出現異常登錄” 等,持續誘導受害者進行 “安全驗證”,直至完成錢包轉移。
MistTrack 分析
我們使用鏈上反洗錢與追蹤系統 MistTrack(https://misttrack.io/) 對 Zach 已公開以及我們的表單收到的部分詐騙者地址進行分析,發現這些詐騙者具備較強的鏈上操作能力,以下是一些關鍵信息:
詐騙者的攻擊目標覆蓋 Coinbase 用戶持有的多種資產,這些地址的活躍時間集中在 2024 年 12 月至 2025 年 5 月之間,目標資產主要為 BTC 與 ETH。BTC 是當前最主要的詐騙目標,多個地址一次性獲利金額高達數百枚 BTC,單筆價值數百萬美元。
資金獲取後,詐騙者迅速利用一套清洗流程對資產進行兌換與轉移,主要模式如下:
- ETH 類資產常通過 Uniswap 快速兌換為 DAI 或 USDT,再分散轉移至多個新地址,部分資產進入中心化交易平臺;
- BTC 則主要通過 THORChain、Chainflip 或 Defiway Bridge 跨鏈至以太坊,再兌換為 DAI 或 USDT,規避追蹤風險。
多個詐騙地址在收到 DAI 或 USDT 後仍處於 “靜置” 狀態,尚未被轉出。
為避免自己的地址與可疑地址發生交互,從而面臨資產被凍結的風險,建議用戶在交易前使用鏈上反洗錢與追蹤系統 MistTrack (https://misttrack.io/) 對目標地址進行風險檢測,以有效規避潛在威脅。
應對措施
平臺
當前主流安全手段更多是 “技術層” 的防護,而社工詐騙往往繞過這些機制,直擊用戶心理和行為漏洞。因此,建議平臺將用戶教育、安全訓練、可用性設計一體化,建立一套 “面向人” 的安全防線。
- 定期推送反詐教育內容:通過 App 彈窗、交易確認界面、郵件等途徑提升用戶防釣魚能力;
- 優化風控模型,引入 “交互式異常行為識別”:大多數社工詐騙都會在短時間內誘導用戶完成一系列操作(如轉賬、白名單變更、設備綁定等)。平臺應基於行為鏈模型識別可疑交互組合(如 “頻繁交互 + 新增地址 + 大額提現”),觸發冷靜期或人工複審機制。
- 規範客服渠道與驗證機制:詐騙者常冒充客服迷惑用戶,平臺應統一電話、短信、郵件模板,並提供 “客服驗證入口”,明確唯一官方溝通渠道,避免混淆。
用戶
- 實施身份隔離策略:避免多個平臺共用同一郵箱、手機號,降低連帶風險,可以使用洩露查詢工具定期檢查郵箱是否已洩露。
- 啟用轉賬白名單與提現冷卻機制:預設可信地址,降低緊急情況下的資金流失風險。
- 持續關注安全資訊:通過安全公司、媒體、交易平臺等渠道,瞭解攻擊手法最新動態,保持警覺。目前,慢霧 (SlowMist)、@DeFiHackLabs 和 @realScamSniffer 打造的 Web3 釣魚演練平臺即將上線,該平臺將模擬多種典型釣魚手法,包括社工投毒、簽名釣魚、惡意合約交互等,並結合我們歷史討論中收集的真實案例,持續更新場景內容。讓用戶在無風險環境下提升識別與應對能力。
- 注意線下風險與隱私保護:個人信息洩露也可能引發人身安全問題。
這並非杞人憂天,今年以來,加密從業者 / 用戶已遭遇多起威脅人身安全的事件。鑑於此次洩露的數據包含姓名、地址、聯繫方式、賬戶數據、身份證照片等內容,相關用戶在線下也需提高警惕,注意安全。
總而言之,保持懷疑,持續驗證。凡涉及緊急操作,請務必要求對方自證身份,並通過官方渠道獨立核實,避免在壓力下做出不可逆的決定。更多安全建議和新型攻擊手法見區塊鏈黑暗森林自救手冊 (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/)。
總結
本次事件再次暴露出面對日益成熟的社工攻擊手法,行業在客戶數據和資產保護方面依然存在明顯短板。值得警惕的是,即便平臺的相關崗位不具備資金權限,缺乏足夠的安全意識和能力,也可能因無意洩露或被策反而造成嚴重後果。隨著平臺體量不斷擴大,人員安全管控的複雜度隨之提升,已成為行業最難攻克的風險之一。因此,平臺在強化鏈上安全機制的同時,也必須系統性地構建覆蓋內部人員與外包服務的 “社工防禦體系”,將人為風險納入整體安全戰略之中。
此外,一旦發現攻擊並非孤立事件,而是有組織、有規模的持續威脅,平臺應第一時間響應,主動排查潛在漏洞、提醒用戶防範、控制損害範圍。唯有在技術與組織層面雙重應對,才能在愈發複雜的安全環境中,真正守住信任與底線。
免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
歡迎加入 Web3Caff 官方社群:X(Twitter)賬號丨微信讀者群丨微信公眾號丨Telegram訂閱群丨Telegram交流群
