撰文：ChandlerZ，Foresight News

安全就像链条，取决于最薄弱的环节。而人，即是密码系统里的阿喀琉斯之踵。当市场还沉迷于构建更复杂的密码学保护机制时，攻击者早已发现了一条捷径：不必破解密码，只需操纵使用密码的人。

人员是最薄弱的环节，同时也是最不受重视的环节。换而言之，人员是黑客最容易突破和利用的漏洞，同时也是企业安全投入最少，提升最慢的短板。

根据区块链分析公司 Chainalysis 的最新报告，2024 年，朝鲜黑客发动了 47 次复杂的攻击活动，从全球加密资产平台盗走了价值 13 亿美元的资产，同比增长 21%。更为惊人的是，2025 年 2 月 21 日，Bybit 交易所遭遇黑客攻击，导致价值约 15 亿美元的加密资产被盗，创下了加密历史上单次盗窃案的新纪录。

过往诸多重大攻击事件中，很多并非通过传统的技术漏洞实现。尽管交易所和项目方每年投入数十亿美元用于技术防护，但在这个看似由数学和代码构建的世界里，许多参与者往往低估了社会工程学带来的威胁。

在信息安全领域，社会工程学一直是一种独特且危险的攻击手段。与通过技术漏洞或加密算法缺陷来侵入系统不同，社会工程学主要利用人类心理弱点和行为习惯对受害者实施欺骗和操控。它不需要太高深的技术门槛，却往往能造成极其严重的损失。

数字时代的到来为社会工程学提供了新的工具和舞台。在加密领域，这种演变尤为明显。早期的加密资产社区主要由技术爱好者和密码朋克组成，他们普遍具备警惕性和一定的技术素养。但随着加密资产逐渐普及，越来越多并不精通相关技术的新用户进入市场，由此为社会工程学攻击创造了肥沃的土壤。

另一方面，高度匿名和不可逆转的交易特性，使得加密资产成为攻击者收割利润的理想目标。一旦资金被转移至他们控制的钱包，几乎无法追回。

社会工程学之所以在加密领域能够轻易得手，很大程度上源于人类决策过程中的各种认知偏差。确认偏误会让投资者只关注符合其预期的信息，从众心理则容易引发市场泡沫，FOMO 情绪常常导致人们在面临亏损时做出非理性选择。攻击者正是通过熟练运用这些心理弱点，巧妙地将其「武器化」。

相比尝试破解复杂加密算法，发动社会工程学攻击的成本更低，成功率更高。一封精心伪造的钓鱼邮件、一份看似正规却暗藏陷阱的求职邀请，往往比直面技术难题更有效。

社会工程学攻击手法虽然种类繁多，但核心逻辑依旧围绕「骗取目标的信任和信息」这一点展开。以下是几种常见手段简要说明：

钓鱼（Phishing）#p#分页标题#e#

电子邮件 / 短信钓鱼：利用伪装成交易所、钱包服务商或其他可信机构的链接，诱导用户输入种子短语、私钥、账号密码等敏感信息。

仿冒社交平台账号：如在推特、Telegram、Discord 等平台假冒「官方客服」、「知名 KOL」或「项目方」，发布带有假链接或假活动信息的帖子，诱骗用户点击并输入密钥或发送加密货币。

浏览器扩展或假网站：构建与真实交易所或钱包网站极其相似的山寨网站，或诱导安装恶意浏览器扩展，一旦用户在这些页面上输入或授权，就会泄露密钥。

假客服 / 冒充技术支持

常见于 Telegram 或 Discord 群里，有人冒充「管理员」或「技术客服」，以帮助解决充值不到账、提币失败、钱包同步出错等问题为由，引导用户交出私钥或将币转入指定地址。

也可能通过私信或小群组拉拢受害者，谎称能「帮忙找回丢失的币」，实际上是诱骗更多资金或获取密钥。

SIM 卡交换（SIM Swap）

攻击者通过收买或欺骗电信运营商客服，使受害者手机号在后台被转移到攻击者手上。一旦手机号被盗用，攻击者可通过短信验证、双重验证（2FA）等方式重置交易所、钱包或社交账户密码，从而盗取加密资产。

SIM Swap 在美国等地发生较多，也有此类案件在多国出现。

社交工程结合恶意招聘 / 猎头

攻击者假借招聘名义，向目标的邮箱或社交媒体账户发送带有恶意文件或链接的「工作邀请」，诱骗目标下载并执行木马。

如果攻击对象是加密公司内部员工或核心开发者，或个人持有大量币的「重度用户」，则可能导致公司基础