Coinbase客服騙子竊取了價值200萬美元的加密貨幣
哈肯發布的2025年度安全報告還顯示,Web3技術的總損失將上升至約39.5億美元,比2024年增加約11億美元,其中超過一半的損失與朝鮮威脅行為者有關。 報告指出,大部分損失是由訪問控制失效和運營安全漏洞造成的,例如密鑰洩露和糟糕的離職流程,而非智能合約漏洞。
ZachXBT 追踪 Coinbase 冒充詐騙案
冒充 Coinbase 的騙子服務台工作人員據區塊鏈調查員 ZachXBT 稱,該組織涉嫌從交易所用戶處竊取了價值超過 200 萬美元的加密貨幣。 在一篇帖子中,已分享至 XZachXBT 表示,他通過交叉比對 電報 群組截圖、社交媒體活動以及與盜竊案相關的鏈上錢包交易,最終確定了嫌疑人身份。
調查人員稱,這名被描述為“加拿大威脅行為者”的嫌疑人,在過去一年中利用各種手段冒充 Coinbase 客服人員實施詐騙。 社會工程欺騙受害者,讓他們相信自己正在與合法代表交談的策略Coinbase據 ZachXBT 稱,被盜資金據稱被用於購買稀有社交媒體用戶名、酒水服務和賭博。 他還分享了一段洩露的視頻,視頻顯示這名涉嫌詐騙者正在與受害者通話,提供虛假的客戶服務。
X帖子 來自 ZachXBT
雖然沒有透露每起事件的具體技術細節,但據報導,這些詐騙活動依賴於經典的社會工程技術,攻擊者偽裝成受信任的人來獲取受害者的信任,並提取敏感信息或說服他們進行欺詐性交易。
ZachXBT表示,嫌疑人試圖通過反复購買昂貴的商品來掩蓋罪行。 TELegram雖然會刪除舊賬號並更改用戶名,但會在社交媒體上發佈公開帖子和頻繁炫耀,從而留下蛛絲馬跡。 調查人員表示,儘管有人試圖掩蓋這些信息,但這種網絡行為使得關聯賬號、錢包和資金流動變得相對容易。
ZachXBT 還聲稱,他利用公開信息找到了涉嫌詐騙者的家庭住址,但他表示由於平台規則,他不會公佈該地址。 帖子中分享的截圖顯示了他所描述的多次運營安全漏洞,包括炫耀奢靡生活方式的自拍照和動態。
加密貨幣領域的社交工程攻擊是一個大問題。 最佳實踐包括永遠不要回復任何聲稱來自加密貨幣領域的未經請求的電話或信息。 交換避免點擊陌生人發送的鏈接,並始終通過官方網站或應用程序直接聯繫客服。 正規客服人員絕不會索要助記詞、登錄憑證,也不會要求用戶將資金發送到私人錢包或將對話轉移到即時通訊應用。
到2025年,Web3虧損將達到39.5億美元
Web32025年安全損失大幅攀升,預計將達到39.5億美元。 這是根據最新的年度報告得出的結論。 安全報告來自 Hacken。 最新預測顯示,與 2024 年相比,損失將增加約 11 億美元,其中超過一半的損失歸因於與 Hacken 相關的威脅行為者。 北朝鮮.
數據顯示,虧損主要集中在年初,第一季度達到峰值,超過20億美元,之後穩步下降,到第四季度約為3.5億美元。 儘管年末的下降可能表明情況有所好轉,但哈肯警告說,整體趨勢表明存在深層次的系統性運營缺陷,而非由孤立的軟件漏洞導致的暫時性虧損。
Hacken 2025 年的主要發現 安全報告
根據該報告,2025 年明確展現了一個趨勢:雖然智能合約漏洞仍然存在風險,最具破壞性和最難挽回的損失仍然是由訪問控制故障和運營安全漏洞造成的。
密鑰管理不善、簽名人信息洩露以及離職流程不規範被認為是造成重大事件的主要原因。 Hacken 估計,訪問控制及相關操作失誤造成的損失約為 21.2 億美元,佔當年所有損失的近 54%,而與此相關的損失約為 5.12 億美元。 智能合約漏洞利用。
按攻擊類型劃分的加密貨幣損失(來源: Hacken )
單一事件對當年的統計數據產生了巨大影響。 Bybit公司遭遇數據洩露報告稱,此次攻擊造成的損失接近15億美元,是加密貨幣行業有史以來記錄在案的最大盜竊案。 哈肯表示,僅此一次攻擊就足以解釋為何與朝鮮有關的犯罪團伙要為2025年所有被盜資金的約52%負責。
哈肯的法務團隊指出,包括美國和歐盟在內的主要司法管轄區的監管機構已經制定了健全的運營規範。 安全應該是什麼樣子? 這些期望包括基於角色的訪問控制、全面的日誌記錄、安全的註冊和身份驗證、機構級託管解決方案(例如硬件安全模塊)、多方計算、多簽名設置、冷藏以及持續監測和異常檢測。
儘管如此,Hacken 表示,許多 Web3 公司在 2025 年仍然沿用不安全的做法。 Hacken Extractor 的取證主管 Yehor RudysTIA 指出,反復出現的問題包括:在開發者離職時未能撤銷其訪問權限、依賴單個私鑰來管理關鍵協議功能,以及未部署端點檢測與響應 (EDR) 系統。 他解釋說,對於大型交易所和託管機構而言,在 2026 年之前,定期進行滲透測試、事件響應模擬、託管控制審查和獨立審計等措施應被視為不可或缺的。
展望未來,哈肯預計監管力度將從溫和的指導轉向強制性要求。 聯合創始人兼首席執行官葉夫根尼婭·布羅舍萬表示,業界完全有機會通過採用專用簽名硬件和必要的監控工具作為標準做法來提高其安全基線。
