作者：Liz & Lisa

背景

在加密资产领域，社会工程攻击正成为用户资金安全的重大威胁。自 2025 年以来，大量针对 Coinbase 用户的社交工程诈骗事件不断浮出水面，引发了社区的广泛关注。从社区的讨论不难看出，此类事件并非孤立个案，而是一种具有持续性和组织化特征的骗局类型。

5 月 15 日，Coinbase 发布公告，证实了此前关于 Coinbase 里有“内鬼”的种种猜测。据悉，美国司法部(DOJ) 已启动针对该起数据泄露事件的调查。

本文将通过整理多位安全研究者和受害者提供的信息，披露诈骗者的主要作案手法，并从平台和用户两个视角出发，探讨如何有效应对此类骗局。

(https://x.com/coinbase/status/1922967576209998133)

历史分析

“仅过去一周，又有超 4,500 万美元因社会工程诈骗从 Coinbase 用户处盗走”，链上侦探 Zach 在 5 月 7 日的 Telegram 更新中这样写道。

过去一年中，Zach 多次在其 Telegram 频道和 X 平台上披露 Coinbase 用户被盗事件，个别受害者的损失高达上千万美元。Zach 在 2025 年 2 月曾发布详细调查称，仅 2024 年 12 月至 2025 年 1 月间，因类似骗局被盗的资金总额已超 6,500 万美元，并揭示 Coinbase 正面临一场严重的“社工诈骗”危机，这类攻击正以年均 3 亿美元的规模持续侵害用户资产安全。他还指出：

• 主导这类诈骗的团伙主要分为两类：一类是来自 Com 圈的低级攻击者(skids)，另一类则是位于印度的网络犯罪组织；

• 诈骗团伙的攻击目标以美国用户为主，作案手法标准化、话术流程成熟；

• 实际损失金额可能远高于链上可见统计，因未包含无法获取的 Coinbase 客服工单和警方报案记录等未公开信息。

(https://x.com/zachxbt/status/1886411891213230114)

骗局手法

在此次事件中，Coinbase 的技术系统并未被攻破，诈骗者是利用了内部员工的权限，获取了部分用户的敏感信息。这些信息包括：姓名、地址、联系方式、账户数据、身份证照片等。诈骗者最终目的是利用社会工程手段引导用户转账。

(https://www.coinbase.com/blog/protecting-our-customers-standing-up-to-extortionists)

这一类型的攻击方式，改变了传统“撒网式”的钓鱼手段，而是转向“精准打击”，堪称“量身定制”的社工诈骗。典型作案路径如下：

1. 以“官方客服”身份联系用户

诈骗者使用伪造电话系统(PBX) 冒充 Coinbase 客服，打电话给用户称其“账户遭遇非法登录”，或“检测到提现异常”，营造紧急氛围。他们随后会发送仿真的钓鱼邮件或短信，其中包含虚假的工单编号或“恢复流程”链接，并引导用户操作。这些链接可能指向克隆的 Coinbase 界面，甚至能发送看似来自官方域名的邮件，部分邮件利用了重定向技术绕过安全防护。

2. 引导用户下载 Coinbase Wallet

诈骗者会以“保护资产”为由，引导用户转移资金至“安全钱包”，还会协助用户安装 Coinbase Wallet，并指引其将原本托管在 Coinbase 上的资产，转入一个新创建的钱包。

3. 诱导用户使用诈骗者提供的助记词

与传统“骗取助记词”不同，诈骗者直接提供一组他们自己生成的助记词，诱导用户将其用作“官方新钱包”。

4. 诈骗者进行资金盗取

受害者在紧张、焦虑且信任“客服”的状态下，极易落入陷阱 —— 在他们看来，“官方提供”的新钱包自然要比“疑似被入侵”的旧钱包更安全。结果是，一旦资金转入这个新钱包，诈骗者便可立即将其转走。Not your keys, not your coins. —— 在社会工程攻击中，这一理念再次被血淋淋地验证。

此外，有的钓鱼邮件声称“因集体诉讼裁定，Coinbase 将全面迁移至自托管钱包”，并要求用户在 4 月 1 日前完成资产迁移。用户在紧迫的时间压力和“官方指令”的心理暗示下，更容易配合操作。

(https://x.com/SteveKBark/status/1900605757025882440)

据 @NanoBaiter 表示，这些攻击往往组织化地进行策划与实施：

• 诈骗工具链完善：骗子使用 PBX 系统（如 FreePBX、Bitrix24）伪造来电号码，模拟官方客服来电。发送钓鱼邮件时会借助 Telegram 中的 @spoofmailer_bot 仿冒 Coinbase 官方邮箱，附带“账户恢复指南”引导转账。

• 目标精准：骗子依托从 Telegram 渠道和暗网购买的被盗用户数据（如“5k COINBASE US2”、“100K_USA-gemini_sample”），锁定美区 Coinbase 用户为主要目标，甚至还会借助 ChatGPT 处理被盗数据，将电话号码分割重组，批量生成 TXT 文件，再通过爆破软件发送短信诈骗。

• 诱骗流程连贯：从电话、短信到邮件，诈骗路径通常无缝连贯，常见钓鱼措辞包括“账户收到提现请求”、“密码已被重置”、“账户出现异常登录”等，持续诱导受害者进行“安全验证”，直至完成钱包转移。

(https://x.com/NanoBaiter/status/1923099215112057010)

MistTrack 分析

我们使用链上反洗钱与追踪系统 MistTrack(https://misttrack.io/) 对 Zach 已公开以及我们的表单收到的部分诈骗者地址进行分析，发现这些诈骗者具备较强的链上操作能力，以下是一些关键信息：

诈骗者的攻击目标覆盖 Coinbase 用户持有的多种资产，这些地址的活跃时间集中在 2024 年 12 月至 2025 年 5 月之间，目标资产主要为 BTC 与 ETH。BTC 是当前最主要的诈骗目标，多个地址一次性获利金额高达数百枚 BTC，单笔价值数百万美元。

资金获取后，诈骗者迅速利用一套清洗流程对资产进行兑换与转移，主要模式如下：

• ETH 类资产常通过 Uniswap 快速兑换为 DAI 或 USDT，再分散转移至多个新地址，部分资产进入中心化交易平台；

• BTC 则主要通过 THORChain、Chainflip 或 Defiway Bridge 跨链至以太坊，再兑换为 DAI 或 USDT，规避追踪风险。

多个诈骗地址在收到 DAI 或 USDT 后仍处于“静置”状态，尚未被转出。

为避免自己的地址与可疑地址发生交互，从而面临资产被冻结的风险，建议用户在交易前使用链上反洗钱与追踪系统 MistTrack (https://misttrack.io/) 对目标地址进行风险检测，以有效规避潜在威胁。

应对措施

平台

当前主流安全手段更多是“技术层”的防护，而社工诈骗往往绕过这些机制，直击用户心理和行为漏洞。因此，建议平台将用户教育、安全训练、可用性设计一体化，建立一套“面向人”的安全防线。

• 定期推送反诈教育内容：通过 App 弹窗、交易确认界面、邮件等途径提升用户防钓鱼能力；

• 优化风控模型，引入“交互式异常行为识别”：大多数社工诈骗都会在短时间内诱导用户完成一系列操作（如转账、白名单变更、设备绑定等）。平台应基于行为链模型识别可疑交互组合（如“频繁交互 + 新增地址 + 大额提现”），触发冷静期或人工复审机制。

• 规范客服渠道与验证机制：诈骗者常冒充客服迷惑用户，平台应统一电话、短信、邮件模板，并提供“客服验证入口”，明确唯一官方沟通渠道，避免混淆。

用户

• 实施身份隔离策略：避免多个平台共用同一邮箱、手机号，降低连带风险，可以使用泄露查询工具定期检查邮箱是否已泄露。

(https://haveibeenpwned.com/)

• 启用转账白名单与提现冷却机制：预设可信地址，降低紧急情况下的资金流失风险。

• 持续关注安全资讯：通过安全公司、媒体、交易平台等渠道，了解攻击手法最新动态，保持警觉。目前，慢雾(SlowMist)、@DeFiHackLabs 和 @realScamSniffer 打造的 Web3 钓鱼演练平台即将上线，该平台将模拟多种典型钓鱼手法，包括社工投毒、签名钓鱼、恶意合约交互等，并结合我们历史讨论中收集的真实案例，持续更新场景内容。让用户在无风险环境下提升识别与应对能力。

• 注意线下风险与隐私保护：个人信息泄露也可能引发人身安全问题。

这并非杞人忧天，今年以来，加密从业者 / 用户已遭遇多起威胁人身安全的事件。鉴于此次泄露的数据包含姓名、地址、联系方式、账户数据、身份证照片等内容，相关用户在线下也需提高警惕，注意安全。

总而言之，保持怀疑，持续验证。凡涉及紧急操作，请务必要求对方自证身份，并通过官方渠道独立核实，避免在压力下做出不可逆的决定。更多安全建议和新型攻击手法见区块链黑暗森林自救手册 (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/)。

总结

本次事件再次暴露出面对日益成熟的社工攻击手法，行业在客户数据和资产保护方面依然存在明显短板。值得警惕的是，即便平台的相关岗位不具备资金权限，缺乏足够的安全意识和能力，也可能因无意泄露或被策反而造成严重后果。随着平台体量不断扩大，人员安全管控的复杂度随之提升，已成为行业最难攻克的风险之一。因此，平台在强化链上安全机制的同时，也必须系统性地构建覆盖内部人员与外包服务的“社工防御体系”，将人为风险纳入整体安全战略之中。

此外，一旦发现攻击并非孤立事件，而是有组织、有规模的持续威胁，平台应第一时间响应，主动排查潜在漏洞、提醒用户防范、控制损害范围。唯有在技术与组织层面双重应对，才能在愈发复杂的安全环境中，真正守住信任与底线。