凡涉及紧急操作,请务必要求对方自证身份,并通过官方渠道独立核实,避免在压力下做出不可逆的决定。
作者:Liz & Lisa
编辑:Sherry
背景
在加密资产领域,社会工程攻击正成为用户资金安全的重大威胁。自 2025 年以来,大量针对 Coinbase 用户的社交工程诈骗事件不断浮出水面,引发了社区的广泛关注。从社区的讨论不难看出,此类事件并非孤立个案,而是一种具有持续性和组织化特征的骗局类型。
5 月 15 日,Coinbase 发布公告,证实了此前关于 Coinbase 里有 “内鬼” 的种种猜测。据悉,美国司法部 (DOJ) 已启动针对该起数据泄露事件的调查。
本文将通过整理多位安全研究者和受害者提供的信息,披露诈骗者的主要作案手法,并从平台和用户两个视角出发,探讨如何有效应对此类骗局。
历史分析
“仅过去一周,又有超 4,500 万美元因社会工程诈骗从 Coinbase 用户处盗走”,链上侦探 Zach 在 5 月 7 日的 Telegram 更新中这样写道。
过去一年中,Zach 多次在其 Telegram 频道和 X 平台上披露 Coinbase 用户被盗事件,个别受害者的损失高达上千万美元。Zach 在 2025 年 2 月曾发布详细调查称,仅 2024 年 12 月至 2025 年 1 月间,因类似骗局被盗的资金总额已超 6,500 万美元,并揭示 Coinbase 正面临一场严重的 “社工诈骗” 危机,这类攻击正以年均 3 亿美元的规模持续侵害用户资产安全。他还指出:
- 主导这类诈骗的团伙主要分为两类:一类是来自 Com 圈的低级攻击者 (skids),另一类则是位于印度的网络犯罪组织;
- 诈骗团伙的攻击目标以美国用户为主,作案手法标准化、话术流程成熟;
- 实际损失金额可能远高于链上可见统计,因未包含无法获取的 Coinbase 客服工单和警方报案记录等未公开信息。
骗局手法
在此次事件中,Coinbase 的技术系统并未被攻破,诈骗者是利用了内部员工的权限,获取了部分用户的敏感信息。这些信息包括:姓名、地址、联系方式、账户数据、身份证照片等。诈骗者最终目的是利用社会工程手段引导用户转账。
这一类型的攻击方式,改变了传统 “撒网式” 的钓鱼手段,而是转向 “精准打击”,堪称 “量身定制” 的社工诈骗。典型作案路径如下:
1. 以 “官方客服” 身份联系用户
诈骗者使用伪造电话系统 (PBX) 冒充 Coinbase 客服,打电话给用户称其 “账户遭遇非法登录”,或 “检测到提现异常”,营造紧急氛围。他们随后会发送仿真的钓鱼邮件或短信,其中包含虚假的工单编号或 “恢复流程” 链接,并引导用户操作。这些链接可能指向克隆的 Coinbase 界面,甚至能发送看似来自官方域名的邮件,部分邮件利用了重定向技术绕过安全防护。
2. 引导用户下载 Coinbase Wallet
诈骗者会以 “保护资产” 为由,引导用户转移资金至 “安全钱包”,还会协助用户安装 Coinbase Wallet,并指引其将原本托管在 Coinbase 上的资产,转入一个新创建的钱包。
3. 诱导用户使用诈骗者提供的助记词
与传统 “骗取助记词” 不同,诈骗者直接提供一组他们自己生成的助记词,诱导用户将其用作 “官方新钱包”。
4. 诈骗者进行资金盗取
受害者在紧张、焦虑且信任 “客服” 的状态下,极易落入陷阱 —— 在他们看来,“官方提供” 的新钱包自然要比 “疑似被入侵” 的旧钱包更安全。结果是,一旦资金转入这个新钱包,诈骗者便可立即将其转走。Not your keys, not your coins. —— 在社会工程攻击中,这一理念再次被血淋淋地验证。
此外,有的钓鱼邮件声称 “因集体诉讼裁定,Coinbase 将全面迁移至自托管钱包”,并要求用户在 4 月 1 日前完成资产迁移。用户在紧迫的时间压力和 “官方指令” 的心理暗示下,更容易配合操作。
据 @NanoBaiter 表示,这些攻击往往组织化地进行策划与实施:
- 诈骗工具链完善:骗子使用 PBX 系统(如 FreePBX、Bitrix24)伪造来电号码,模拟官方客服来电。发送钓鱼邮件时会借助 Telegram 中的 @spoofmailer_bot 仿冒 Coinbase 官方邮箱,附带 “账户恢复指南” 引导转账。
- 目标精准:骗子依托从 Telegram 渠道和暗网购买的被盗用户数据(如 “5k COINBASE US2”、“100K_USA-gemini_sample”),锁定美区 Coinbase 用户为主要目标,甚至还会借助 ChatGPT 处理被盗数据,将电话号码分割重组,批量生成 TXT 文件,再通过爆破软件发送短信诈骗。
- 诱骗流程连贯:从电话、短信到邮件,诈骗路径通常无缝连贯,常见钓鱼措辞包括 “账户收到提现请求”、“密码已被重置”、“账户出现异常登录” 等,持续诱导受害者进行 “安全验证”,直至完成钱包转移。
MistTrack 分析
我们使用链上反洗钱与追踪系统 MistTrack(https://misttrack.io/) 对 Zach 已公开以及我们的表单收到的部分诈骗者地址进行分析,发现这些诈骗者具备较强的链上操作能力,以下是一些关键信息:
诈骗者的攻击目标覆盖 Coinbase 用户持有的多种资产,这些地址的活跃时间集中在 2024 年 12 月至 2025 年 5 月之间,目标资产主要为 BTC 与 ETH。BTC 是当前最主要的诈骗目标,多个地址一次性获利金额高达数百枚 BTC,单笔价值数百万美元。
资金获取后,诈骗者迅速利用一套清洗流程对资产进行兑换与转移,主要模式如下:
- ETH 类资产常通过 Uniswap 快速兑换为 DAI 或 USDT,再分散转移至多个新地址,部分资产进入中心化交易平台;
- BTC 则主要通过 THORChain、Chainflip 或 Defiway Bridge 跨链至以太坊,再兑换为 DAI 或 USDT,规避追踪风险。
多个诈骗地址在收到 DAI 或 USDT 后仍处于 “静置” 状态,尚未被转出。
为避免自己的地址与可疑地址发生交互,从而面临资产被冻结的风险,建议用户在交易前使用链上反洗钱与追踪系统 MistTrack (https://misttrack.io/) 对目标地址进行风险检测,以有效规避潜在威胁。
应对措施
平台
当前主流安全手段更多是 “技术层” 的防护,而社工诈骗往往绕过这些机制,直击用户心理和行为漏洞。因此,建议平台将用户教育、安全训练、可用性设计一体化,建立一套 “面向人” 的安全防线。
- 定期推送反诈教育内容:通过 App 弹窗、交易确认界面、邮件等途径提升用户防钓鱼能力;
- 优化风控模型,引入 “交互式异常行为识别”:大多数社工诈骗都会在短时间内诱导用户完成一系列操作(如转账、白名单变更、设备绑定等)。平台应基于行为链模型识别可疑交互组合(如 “频繁交互 + 新增地址 + 大额提现”),触发冷静期或人工复审机制。
- 规范客服渠道与验证机制:诈骗者常冒充客服迷惑用户,平台应统一电话、短信、邮件模板,并提供 “客服验证入口”,明确唯一官方沟通渠道,避免混淆。
用户
- 实施身份隔离策略:避免多个平台共用同一邮箱、手机号,降低连带风险,可以使用泄露查询工具定期检查邮箱是否已泄露。
- 启用转账白名单与提现冷却机制:预设可信地址,降低紧急情况下的资金流失风险。
- 持续关注安全资讯:通过安全公司、媒体、交易平台等渠道,了解攻击手法最新动态,保持警觉。目前,慢雾 (SlowMist)、@DeFiHackLabs 和 @realScamSniffer 打造的 Web3 钓鱼演练平台即将上线,该平台将模拟多种典型钓鱼手法,包括社工投毒、签名钓鱼、恶意合约交互等,并结合我们历史讨论中收集的真实案例,持续更新场景内容。让用户在无风险环境下提升识别与应对能力。
- 注意线下风险与隐私保护:个人信息泄露也可能引发人身安全问题。
这并非杞人忧天,今年以来,加密从业者 / 用户已遭遇多起威胁人身安全的事件。鉴于此次泄露的数据包含姓名、地址、联系方式、账户数据、身份证照片等内容,相关用户在线下也需提高警惕,注意安全。
总而言之,保持怀疑,持续验证。凡涉及紧急操作,请务必要求对方自证身份,并通过官方渠道独立核实,避免在压力下做出不可逆的决定。更多安全建议和新型攻击手法见区块链黑暗森林自救手册 (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/)。
总结
本次事件再次暴露出面对日益成熟的社工攻击手法,行业在客户数据和资产保护方面依然存在明显短板。值得警惕的是,即便平台的相关岗位不具备资金权限,缺乏足够的安全意识和能力,也可能因无意泄露或被策反而造成严重后果。随着平台体量不断扩大,人员安全管控的复杂度随之提升,已成为行业最难攻克的风险之一。因此,平台在强化链上安全机制的同时,也必须系统性地构建覆盖内部人员与外包服务的 “社工防御体系”,将人为风险纳入整体安全战略之中。
此外,一旦发现攻击并非孤立事件,而是有组织、有规模的持续威胁,平台应第一时间响应,主动排查潜在漏洞、提醒用户防范、控制损害范围。唯有在技术与组织层面双重应对,才能在愈发复杂的安全环境中,真正守住信任与底线。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
