安全就像链条，取决于最薄弱的环节。而人，即是密码系统里的阿喀琉斯之踵。当市场还沉迷于构建更复杂的密码学保护机制时，攻击者早已发现了一条捷径：不必破解密码，只需操纵使用密码的人。

人员是最薄弱的环节，同时也是最不受重视的环节。换而言之，人员是黑客最容易突破和利用的漏洞，同时也是企业安全投入最少，提升最慢的短板。

根据区块链分析公司 Chainalysis 的最新报告，2024 年，朝鲜黑客发动了 47 次复杂的攻击活动，从全球加密资产平台盗走了价值 13 亿美元的资产，同比增长 21%。更为惊人的是，2025 年 2 月 21 日，Bybit 交易所遭遇黑客攻击，导致价值约 15 亿美元的加密资产被盗，创下了加密历史上单次盗窃案的新纪录。

过往诸多重大攻击事件中，很多并非通过传统的技术漏洞实现。尽管交易所和项目方每年投入数十亿美元用于技术防护，但在这个看似由数学和代码构建的世界里，许多参与者往往低估了社会工程学带来的威胁。

社会工程学的本质与演变

在信息安全领域，社会工程学一直是一种独特且危险的攻击手段。与通过技术漏洞或加密算法缺陷来侵入系统不同，社会工程学主要利用人类心理弱点和行为习惯对受害者实施欺骗和操控。它不需要太高深的技术门槛，却往往能造成极其严重的损失。

数字时代的到来为社会工程学提供了新的工具和舞台。在加密领域，这种演变尤为明显。早期的加密资产社区主要由技术爱好者和密码朋克组成，他们普遍具备警惕性和一定的技术素养。但随着加密资产逐渐普及，越来越多并不精通相关技术的新用户进入市场，由此为社会工程学攻击创造了肥沃的土壤。

另一方面，高度匿名和不可逆转的交易特性，使得加密资产成为攻击者收割利润的理想目标。一旦资金被转移至他们控制的钱包，几乎无法追回。

社会工程学之所以在加密领域能够轻易得手，很大程度上源于人类决策过程中的各种认知偏差。确认偏误会让投资者只关注符合其预期的信息，从众心理则容易引发市场泡沫，FOMO 情绪常常导致人们在面临亏损时做出非理性选择。攻击者正是通过熟练运用这些心理弱点，巧妙地将其「武器化」。

相比尝试破解复杂加密算法，发动社会工程学攻击的成本更低，成功率更高。一封精心伪造的钓鱼邮件、一份看似正规却暗藏陷阱的求职邀请，往往比直面技术难题更有效。

常见社会工程学手法

社会工程学攻击手法虽然种类繁多，但核心逻辑依旧围绕「骗取目标的信任和信息」这一点展开。以下是几种常见手段简要说明：

钓鱼（Phishing）

电子邮件 / 短信钓鱼：利用伪装成交易所、钱包服务商或其他可信机构的链接，诱导用户输入种子短语、私钥、账号密码等敏感信息。

仿冒社交平台账号：如在推特、Telegram、Discord 等平台假冒「官方客服」、「知名 KOL」或「项目方」，发布带有假链接或假活动信息的帖子，诱骗用户点击并输入密钥或发送加密货币。

浏览器扩展或假网站：构建与真实交易所或钱包网站极其相似的山寨网站，或诱导安装恶意浏览器扩展，一旦用户在这些页面上输入或授权，就会泄露密钥。

假客服 / 冒充技术支持

常见于 Telegram 或 Discord 群里，有人冒充「管理员」或「技术客服」，以帮助解决充值不到账、提币失败、钱包同步出错等问题为由，引导用户交出私钥或将币转入指定地址。

也可能通过私信或小群组拉拢受害者，谎称能「帮忙找回丢失的币」，实际上是诱骗更多资金或获取密钥。

SIM 卡交换（SIM Swap）

攻击者通过收买或欺骗电信运营商客服，使受害者手机号在后台被转移到攻击者手上。一旦手机号被盗用，攻击者可通过短信验证、双重验证（2FA）等方式重置交易所、钱包或社交账户密码，从而盗取加密资产。

SIM Swap 在美国等地发生较多，也有此类案件在多国出现。

社交工程结合恶意招聘 / 猎头

攻击者假借招聘名义，向目标的邮箱或社交媒体账户发送带有恶意文件或链接的「工作邀请」，诱骗目标下载并执行木马。

如果攻击对象是加密公司内部员工或核心开发者，或个人持有大量币的「重度用户」，则可能导致公司基础设施被入侵、密钥被窃等严重后果。

2022 年 Axie Infinity 的 Ronin 桥安全事故，据 The Block 报道该攻击事件与一个虚假的招聘广告相关。知情人士透露，黑客通过领英联系了 Axie Infinity 开发商 Sky Mavis 的一名员工，经过几轮面试告知其以高薪被录用。随后该员工下载了以 PDF 文档呈现的伪造的录取信，导致黑客软件渗透到 Ronin 的系统，从而黑客攻击并接管 Ronin 网络上九个验证器中的四个，只差一个验证器无法完全控制，随后又控制了未撤销权限的 Axie DAO 来实现最终的入侵。

假空投 / 假赠币活动

在 Twitter、Telegram 等平台出现的假「官方」活动，如「只要转 x 个币到某地址，即可翻倍返还」等，实际上都是诈骗。

攻击者也常以「白名单空投」「测试网空投」 为名，通过让用户点击未知链接或连接钓鱼网站钱包的形式，诱骗密钥或授权从而盗币。

2020 年，奥巴马、拜登、巴菲特、比尔·盖茨在内的多位美国政商名流以及多家知名企业的社交媒体推特账号失窃，黑客盗取密码、接管账户后发布消息，以双倍返还为诱饵，让用户将加密货币资金发送到指定账户地址链接。近几年 YouTube 上仍有大量冒充马斯克的「双倍返还」骗局。

内部人员渗透 / 离职员工作案

一些加密货币公司或项目团队的离职员工，或被攻击者收买的在职员工，利用其对内部系统与操作流程的熟悉，窃取用户数据库、私钥或执行未授权交易。

这类场景中，技术漏洞与社会工程结合更为紧密，常造成较大规模损失。

被植入「后门」或已经被篡改的假硬件钱包

攻击者会在 eBay、闲鱼、Telegram 群组或其他电商 / 二手交易平台上，以低于市场价或保真保证等噱头出售硬件钱包，实际上设备内部已被替换了芯片或固件。也有用户可能无意中购买翻新机或二手机时，被卖家预先导入了私钥，一旦买家存入资金，攻击者就可以随时用相同私钥取走。

此外，有用户在数据泄露事件后，收到伪装成厂商（如 Ledger）寄来的免费更换设备或安全升级版设备，包装内还附带新的助记词卡片和操作说明。一旦用户使用这些预置的助记词或将原助记词迁移到假设备，攻击者就能掌握该钱包的全部资产访问权限。

上述例子只是冰山一角，社会工程学的多样性和灵活性使得它在加密货币领域的破坏力尤为显著。对于绝大多数普通用户来说，这些攻击往往防不胜防。

贪婪与恐惧

贪婪心理始终是最易被操纵的弱点。在市场极度活跃时，一些人会因为从众效应，对忽然爆红的项目一哄而上。恐惧和不确定感也是社会工程学常用的突破口。在加密剧烈震荡或项目出现问题时，诈骗者会发布「紧急通知」，声称项目处于极端危险状况，诱导用户赶紧将资金转移到所谓的安全地址。许多新手由于惧怕损失，难以保持清醒思考，往往容易被裹挟进这种恐慌情绪中。

另外，FOMO 心态在加密生态里更是随处可见。害怕错过下一轮牛市或下一个比特币，导致人们急于投入资金和参与项目，却缺乏对风险与真伪的基本鉴别能力。社会工程学攻击者只需营造机会稍纵即逝、一旦错过再无翻倍可能的氛围，就足以让一部分投资者自投罗网。

风险识别与防范

社会工程学之所以难防，正是因为它面向的是人的认知盲区和心理弱点。作为投资者，应该注意以下关键要点：

提高安全意识

不随意泄露私钥和助记词。在任何情况下，都不要轻信他人而透露自己的私钥、助记词或敏感身份信息。真正的官方团队几乎不会通过私聊索要这类信息。

警惕「不合理的收益承诺」。凡是声称「零风险高回报」「返还本金数倍」的活动，极有可能是骗局。

验证链接与来源

使用浏览器插件或官方渠道核对网址。对加密货币交易所、钱包或去中心化应用（DApp）的网站，需要反复确认域名是否正确。

不要随意点击来历不明的链接。如果对方声称是「空投福利」或「官方补偿」，应第一时间到正规社交媒体或官方渠道求证。

注重社区与社交媒体甄别

核查官方账号的认证标志、粉丝量与交互记录。避免盲目添加陌生私聊群、点击群内未知链接。

对于「免费午餐」信息，要保持怀疑态度，多看多问，向有经验的投资者或官方渠道求证。

建立健康的投资心态

理性看待市场波动，避免被短期暴涨暴跌的情绪裹挟。

任何时候都要做好最坏的打算，不要因为「怕错过」而忽视潜在风险。

人类因素的永恒重要性

人性是社会工程学能够反复得手的根基。攻击者会针对从众心理、贪婪、恐惧、不安全感以及 FOMO（害怕错过）等特质，设计出形形色色的骗局。

区块链与加密领域的技术迭代与业务模式不断拓展，社会工程学手段也会随之进化。深度伪造技术（Deepfake）的成熟可能在不远的将来呈现出更大的威胁，攻击者或许会通过合成视频及音频的方式，逼真地冒充项目负责人，与受害者实时连线。多维度社交工程亦将升级，攻击者可能跨多个社交平台、长时间潜伏并收集信息，再通过精心设计的情感操控对目标下手。

社会工程学的持续存在提醒我们，无论技术如何先进，人类因素仍然是系统的核心组成部分。完全消除社会工程学的影响可能是不现实的，只有同时关注代码和人，才可以帮助我们构建更具韧性的系统。