作者:Liz & Lisa
編輯:Sherry
背景
在加密資產領域,社會工程攻擊正成為用戶資金安全的重大威脅。自2025 年以來,大量針對Coinbase 用戶的社交工程詐騙事件不斷浮出水面,引發了社群的廣泛關注。從社群的討論不難看出,此類事件並非孤立個案,而是一種具有持續性和組織化特徵的騙局類型。
5 月15 日,Coinbase 發佈公告,證實了先前關於Coinbase 裡有「內鬼」的種種猜測。據悉,美國司法部(DOJ) 已啟動針對該起資料外洩事件的調查。
本文將透過整理多位安全研究者和受害者提供的信息,披露詐騙者的主要作案手法,並從平台和用戶兩個視角出發,探討如何有效應對此類騙局。
(https://x.com/coinbase/status/1922967576209998133)
歷史分析
“僅過去一周,又有超4,500 萬美元因社會工程詐騙從Coinbase 用戶處盜走”,鏈上偵探Zach 在5 月7 日的Telegram 更新中這樣寫道。
過去一年中,Zach 多次在其Telegram 頻道和X 平台上披露Coinbase 用戶被盜事件,個別受害者的損失高達上千萬美元。 Zach 在2025 年2 月曾發布詳細調查稱,僅2024 年12 月至2025 年1 月間,因類似騙局被盜的資金總額已超6,500 萬美元,並揭示Coinbase 正面臨一場嚴重的「社工詐騙」危機,這類攻擊正以年均3 億美元的規模持續侵害用戶資產安全。他也指出:
- 主導這類詐騙的團體主要分為兩類:一類是來自Com 圈的低階攻擊者(skids),另一類則是位於印度的網路犯罪組織;
- 詐騙集團的攻擊目標以美國使用者為主,作案手法標準化、話術流程成熟;
- 實際損失金額可能遠高於鏈上可見統計,因未包含無法取得的Coinbase 客服工單和警方報案記錄等未公開資訊。
(https://x.com/zachxbt/status/1886411891213230114)
騙局手法
在這次事件中,Coinbase 的技術系統並未被攻破,詐騙者是利用了內部員工的權限,取得了部分使用者的敏感資訊。這些資訊包括:姓名、地址、聯絡資訊、帳戶資料、身分證照片等。詐騙者最終目的是利用社會工程方式引導使用者轉帳。
(https://www.coinbase.com/blog/protecting-our-customers-standing-up-to-extortionists)
這類型的攻擊方式,改變了傳統“撒網式”的釣魚手段,而是轉向“精準打擊”,堪稱“量身定制”的社工詐騙。典型作案路徑如下:
1. 以「官方客服」身分聯絡用戶
詐騙者使用偽造電話系統(PBX) 冒充Coinbase 客服,打電話給用戶稱其“帳戶遭遇非法登錄”,或“檢測到提現異常”,營造緊急氛圍。他們隨後會發送仿真的釣魚郵件或短信,其中包含虛假的工單編號或“恢復流程”鏈接,並引導用戶操作。這些連結可能指向克隆的Coinbase 介面,甚至可以發送看似來自官方網域的郵件,部分郵件利用了重定向技術繞過安全防護。
2. 引導用戶下載Coinbase Wallet
詐騙者會以“保護資產”為由,引導用戶轉移資金至“安全錢包”,還會協助用戶安裝Coinbase Wallet,並指引其將原本託管在Coinbase 上的資產,轉入一個新創建的錢包。
3. 誘導使用者使用詐騙者提供的助記詞
與傳統「騙取助記詞」不同,詐騙者直接提供一組他們自己產生的助記詞,誘導用戶將其用作「官方新錢包」。
4.詐騙者進行資金盜取
受害者在緊張、焦慮且信任「客服」的狀態下,極易落入陷阱—— 在他們看來,「官方提供」的新錢包自然要比「疑似被入侵」的舊錢包更安全。結果是,一旦資金轉入這個新錢包,詐騙者便可立即將其轉走。 Not your keys, not your coins. —— 在社會工程攻擊中,這理念再次被血淋淋地驗證。
此外,有的釣魚郵件聲稱“因集體訴訟而裁定,Coinbase 將全面遷移至自託管錢包”,並要求用戶在4 月1 日前完成資產遷移。使用者在緊迫的時間壓力和「官方指令」的心理暗示下,更容易配合操作。
(https://x.com/SteveKBark/status/1900605757025882440)
據@NanoBaiter 表示,這些攻擊往往組織化地進行策劃與實施:
- 詐騙工具鏈完善:騙子使用PBX 系統(如FreePBX、Bitrix24)偽造來電號碼,模擬官方客服來電。發送釣魚郵件時會使用Telegram 中的@spoofmailer_bot 仿冒Coinbase 官方郵箱,附帶「帳戶恢復指南」引導轉帳。
- 目標精準:騙子依托從Telegram 頻道和暗網購買的被盜用戶資料(如「5k COINBASE US2」、「100K_USA-gemini_sample」),鎖定美區Coinbase 用戶為主要目標,甚至會藉助ChatGPT 處理被盜資料,將電話號碼分割簡訊重組,大量產生TXT 檔案,透過爆破軟體產生詐騙軟體更新
- 誘騙流程連貫:從電話、簡訊到郵件,詐騙路徑通常無縫連貫,常見釣魚措辭包括“帳戶收到提現請求”、“密碼已被重置”、“帳戶出現異常登錄”等,持續誘導受害者進行“安全驗證”,直至完成錢包轉移。
(https://x.com/NanoBaiter/status/1923099215112057010)
MistTrack 分析
我們使用鏈上反洗錢與追蹤系統MistTrack(https://misttrack.io/) 對Zach 已公開以及我們的表單收到的部分詐騙者地址進行分析,發現這些詐騙者俱備較強的鏈上操作能力,以下是一些關鍵訊息:
詐騙者的攻擊目標涵蓋Coinbase 用戶持有的多種資產,這些地址的活躍時間集中在2024 年12 月至2025 年5 月之間,目標資產主要為BTC 與ETH。 BTC 是目前最主要的詐騙目標,多個地址一次性獲利金額高達數百枚BTC,單筆價值數百萬美元。
資金取得後,詐騙者迅速利用一套清洗流程對資產進行兌換與轉移,主要模式如下:
- ETH 類資產常透過Uniswap 快速兌換為DAI 或USDT,再分散轉移至多個新地址,部分資產進入中心化交易平台;
- BTC 則主要透過THORChain、Chainflip 或Defiway Bridge 跨鏈至以太坊,再兌換為DAI 或USDT,規避追蹤風險。
多個詐騙地址在收到DAI 或USDT 後仍處於「靜置」狀態,尚未被轉出。
為避免自己的地址與可疑地址發生交互,從而面臨資產被凍結的風險,建議用戶在交易前使用鏈上反洗錢與追踪系統MistTrack (https://misttrack.io/) 對目標地址進行風險檢測,以有效規避潛在威脅。
因應措施
平台
目前主流安全手段更多是「技術層」的防護,而社工詐騙往往繞過這些機制,直擊用戶心理和行為漏洞。因此,建議平台將使用者教育、安全訓練、可用性設計整合,建立一套「面向人」的安全防線。
- 定期推播反詐教育內容:透過App 彈跳窗、交易確認介面、郵件等途徑提升使用者防釣魚能力;
- 優化風控模型,引入「互動式異常行為識別」:大多數社工詐騙都會在短時間內誘導用戶完成一系列操作(如轉帳、白名單變更、設備綁定等)。平台應基於行為鏈模型識別可疑互動組合(如「頻繁互動+ 新增位址+ 大額提現」),觸發冷靜期或人工複審機制。
- 規範客服管道與驗證機制:詐騙者常冒充客服迷惑用戶,平台應統一電話、簡訊、郵件模板,並提供“客服驗證入口”,明確唯一官方溝通管道,避免混淆。
使用者
- 實施身分隔離策略:避免多個平台共用相同信箱、手機號,降低連帶風險,可以使用外洩查詢工具定期檢查信箱是否已外洩。
(https://haveibeenpwned.com/)
- 啟用轉帳白名單與提現冷卻機制:預設可信任地址,降低緊急情況下的資金流失風險。
- 持續關注安全資訊:透過保全公司、媒體、交易平台等管道,了解攻擊手法最新動態,保持警覺。目前,慢霧(SlowMist)、@DeFiHackLabs 和@realScamSniffer 打造的Web3 釣魚演練平台即將上線,該平台將模擬多種典型釣魚手法,包括社工投毒、簽名釣魚、惡意合約互動等,並結合我們歷史討論中收集的真實案例,持續更新場景內容。讓使用者在無風險環境下提升識別與應對能力。
- 注意離線風險與隱私保護:個人資訊外洩也可能引發人身安全問題。
這並非杞人憂天,今年以來,加密從業者/ 用戶已遭遇多起威脅人身安全的事件。鑑於此次外洩的資料包含姓名、地址、聯絡方式、帳戶資料、身分證照片等內容,相關用戶在線上也需提高警惕,注意安全。
總而言之,保持懷疑,持續驗證。凡涉及緊急操作,請務必要求對方自證身份,並透過官方管道獨立核實,避免在壓力下做出不可逆轉的決定。更多安全建議與新型攻擊手法請見區塊鏈黑暗森林自救手冊(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/)。
總結
本次事件再次揭露面對日益成熟的社工攻擊手法,業界在客戶資料和資產保護方面依然存在明顯短板。值得警惕的是,即便平台的相關職位不具備資金權限,缺乏足夠的安全意識與能力,也可能因無意外洩或被策反而造成嚴重後果。隨著平台體量不斷擴大,人員安全管控的複雜度隨之提升,已成為業界最難攻克的風險之一。因此,平台在強化鏈上安全機制的同時,也必須系統性地建構覆蓋內部人員與外包服務的“社工防禦體系”,將人為風險納入整體安全戰略之中。
此外,一旦發現攻擊並非孤立事件,而是有組織、有規模的持續威脅,平台應第一時間回應,主動排除潛在漏洞、提醒使用者防範、控制損害範圍。唯有在技術與組織層面雙重應對,才能在愈發複雜的安全環境中,真正守住信任與底線。
