ZachXBT 揭露 Coinbase 客服冒充骗局
区块链调查员 ZachXBT 揭露,一个冒充 Coinbase 客服的诈骗组织,通过社会工程手段,已从用户处窃取超过 200 万美元的加密货币。调查通过比对 Telegram 群组、社交媒体活动及链上交易锁定嫌疑人。
诈骗手法与资金流向
嫌疑人被描述为“加拿大威胁行为者”,在过去一年中伪装成 Coinbase 合法客服,欺骗受害者提供敏感信息或进行欺诈交易。据称,被盗资金被用于购买稀有社交媒体用户名、酒水服务及赌博。ZachXBT 还分享了一段泄露的通话视频作为证据。
尽管嫌疑人试图通过频繁更换 Telegram 账号和炫耀性消费来掩盖踪迹,但其公开的网络行为反而留下了关联线索。调查人员甚至通过公开信息找到了其住址,但未予公布。
如何防范类似攻击
- 切勿回复任何声称来自加密货币交易所的未经请求的电话或信息。
- 避免点击陌生人发送的链接。
- 始终通过官方网站或应用直接联系客服。
- 正规客服绝不会索要助记词、登录凭证,也不会要求将资金转到私人钱包或将对话转移至其他通讯应用。
2025年Web3安全损失达39.5亿美元
根据 Hacken 发布的2025年度安全报告,Web3领域因安全事件造成的总损失预计将升至39.5亿美元,较2024年增加约11亿美元。其中超过半数损失与朝鲜相关的威胁行为者有关。
主要损失原因:运营安全漏洞
报告指出,大部分损失并非源于智能合约漏洞,而是由访问控制失效和运营安全漏洞造成,例如密钥管理不善、信息泄露及离职流程不规范。这类原因造成的损失估计为21.2亿美元,占全年总损失的近54%。
重大个案影响
其中,Bybit数据泄露事件造成的损失接近15亿美元,是加密货币史上最大盗窃案之一,也显著推高了与朝鲜相关的损失占比。
行业安全建议
报告强调,许多公司仍存在不安全做法,如未能及时撤销离职人员访问权限、过度依赖单一私钥等。建议必须采取的措施包括:
- 实施基于角色的访问控制和全面日志记录。
- 采用机构级托管解决方案(如硬件安全模块、多签)。
- 进行定期渗透测试、独立审计及事件响应模拟。
