2025年上半年,加密貨幣用戶損失達23億美元,其中3.4億美元僅與社交工程詐騙有關。根據Cointelegraph的最新消息,Discord上的「試玩我的遊戲」陷阱導致一位NFT藝術家損失17萬美元,而冒充AI或遊戲新創公司的騙局則利用精心設計的Notion頁面和已驗證的X帳號來傳播錢包竊取程式,這些都顯示了此類詐騙演變之快。
從更廣泛的角度來看,數字更為驚人。Chainalysis報告指出,2024年追蹤到的非法加密貨幣流動高達409億美元,儘管鏈上活動中只有0.14%屬於犯罪行為。這微小的比例仍然導致了巨大的損失,並在牛市中迅速增長。2025年的加密貨幣牛市不僅會誕生贏家,還會助長針對個人的欺詐行為,例如深度偽造(Deepfakes)、盲簽名盜竊以及高管冒充等。除非用戶能辨識出危險訊號並加強防禦,否則這些情況將會加劇。
在下文中,您將找到需要提防的主要社交工程詐騙、實際案例、危險訊號以及保護您在BingX及其他平台上的加密資產的具體步驟。
什麼是加密貨幣社交工程詐騙及其運作方式?
加密貨幣社交工程詐騙是一種加密貨幣詐欺類型,詐騙者針對的是人而非區塊鏈或智能合約。他們不是透過破解程式碼,而是利用心理操縱,假扮成可信賴的人物、營造虛假緊迫感或利用社群信任,來誘騙受害者洩露私鑰、密碼或發送資金。其目標是讓您點擊惡意連結、下載虛假軟體或批准有風險的鏈上交易,從而盜取您的錢包資產。
社交工程詐騙佔2025年上半年加密貨幣詐騙損失的15% | 來源:Quill Audits
社交工程(SE)詐騙的實際運作方式
1. 準備:詐騙者研究他們的目標,通常是在Discord、Telegram或X社群內部。
2. 滲透:他們冒充朋友、招聘人員或客服人員來取得信任。
3. 詐騙:他們發送假的「遊戲」、釣魚網站或合約授權請求。您誤以為是安全的並與之互動。
4. 損失:您的錢包被盜空、帳號被盜用或個人資料被竊取。
這種方式甚至能繞過最佳的審核,因為「漏洞」不在程式碼中,而是在人類行為中。
為何您需要關注社交工程攻擊?
社交工程詐騙現已成為2025年加密貨幣損失的最大來源之一。根據Quill Audits的數據,2025年上半年,透過社交工程手段竊取的資金達3.4億美元,這只是駭客攻擊和漏洞利用所導致的超過23億美元總損失的一部分。網路釣魚和社交工程仍然是主要的攻擊途徑,在安全公司的事件報告中始終名列前茅。
Darktrace研究人員已追蹤到活躍的詐騙活動,其中詐騙者會建立整個虛假公司生態系統,包括網站、GitHub儲存庫和Notion頁面,用來散播錢包竊取惡意軟體,如Atomic Stealer和Realst。
在牛市中,詐騙者擴大規模的速度很快。由於加密貨幣交易不可逆轉,單次點擊或盲簽名就可能意味著失去一切,這使得社交工程詐騙成為2025年交易者和投資者面臨的最緊迫風險之一。
10大社交工程詐騙,助您保持安全
隨著2025年牛市加速,詐騙者也在擴大其規模,他們利用Discord陷阱、虛假新創公司、深度偽造和盲簽名技巧來竊取數百萬美元。以下是您需要了解的十種最常見的社交工程詐騙,以及它們的運作方式和危險性。
1. 「試玩我的遊戲」Discord/Steam誘餌(錢包竊取程式安裝檔)
基於Discord的社交工程攻擊描述 | 來源:Cointelegraph
攻擊者常潛入Discord的遊戲或加密貨幣伺服器,假扮成友善的社群成員。在建立信任後,他們會發送一個「試玩版」或「試試我的遊戲」連結,有時會託管在Steam或虛假的檔案伺服器上。一旦安裝,程式會靜默植入惡意軟體,旨在竊取錢包憑證、工作階段cookie和Discord登入資訊,從而讓詐騙者完全掌控資產和帳號。
一個真實案例顯示了這類詐騙的代價有多高。2025年8月,NFT藝術家Princess Hypio在接受一位她以為是朋友的人發來的Steam連結「遊戲建構檔」後,損失了約17萬美元的代幣和NFT。安全研究人員強調,這些詐騙之所以成功,是因為它們不攻擊區塊鏈,而是利用社群空間中的人類信任和好奇心。
為了保護自己,請留意以下危險訊號:有人提議「送你一個遊戲」、提及共同朋友的名字,或在下載前要求進行驗證碼/「Cloudflare檢查」。請將遊戲和錢包活動分開在不同的設備上進行,永遠不要執行未簽名或未經驗證的檔案,並使用第二個管道(如Telegram或電話)來再次確認身分。在點擊前簡單地停頓一下,就可以避免錢包被徹底盜空。
2. 假冒的AI/遊戲/Web3新創公司(Notion/GitHub/Medium/X造假)
假冒新創公司社會工程詐騙範例 | 來源:Darktrace
詐騙者越來越常假冒AI、遊戲或Web3新創公司來欺騙加密貨幣用戶。他們會建立看似專業的網站、在Notion上發布白皮書,並上傳看似活躍的虛假GitHub儲存庫。然後,受害者會透過X、Discord或Telegram收到邀請,去「測試」新的軟體或加入測試計畫。一旦安裝,應用程式就會植入資訊竊取程式,從Windows和macOS裝置中刮取瀏覽器資料、助記詞和錢包文件。
其中一些虛假公司為了取得合法性不惜大費周章。Darktrace的研究人員發現,有些團體會使用竊取的程式碼簽章憑證,讓惡意軟體通過系統檢查;而另一些則會劫持真實用戶的已驗證X帳號,使其看起來更加真實。「Pollens AI」和「Eternal Decay」等詐騙活動甚至偽造投資者名單和會議照片,以提升可信度。
實際的防禦措施來自於保持懷疑。留意那些華麗品牌包裝但幾乎沒有實際運作程式碼、註冊資訊不符,或在多個「新創公司」中重複使用資產等危險訊號。永遠假設未經請求的軟體是惡意的,直到被證明是安全的。保持熱錢包淨空,依賴帶有明確簽名提示的硬體錢包,並將工作/測試環境與用於管理加密貨幣的裝置分開。
3. 盲簽名與授權許可網路釣魚(虛假前端/資金竊取程式)
盲簽名和授權許可網路釣魚是2025年增長最快的詐騙之一。攻擊者複製受歡迎的dApp、交易所或空投領取頁面,並透過贊助廣告、Discord群組或Telegram群組進行推廣。當用戶在錢包中點擊「批准」時,他們在不知不覺中授予攻擊者無限的代幣消費權限,使其能在幾秒鐘內耗盡整個餘額。QuillAudits估計,這種攻擊在2025年上半年激增,導致以太坊、Solana和TON上的損失達數億美元。
這些詐騙之所以有效,是因為錢包提示看起來很正常。許多用戶沒有意識到,單次批准所涵蓋的範圍遠遠超過他們預期的小額轉帳。危險訊號包括要求最大額度授權的新網站或不熟悉的網站、連結到未知合約的錢包簽名,或者以「立即領取」或「空投幾分鐘後結束」等標語施壓。即使是經驗豐富的交易者,在急於批准時也會成為受害者。
最安全的防禦措施是養成驗證和撤銷的習慣。在點擊前,務必仔細檢查錢包批准的內容,並定期運行Revoke.cash或Etherscan Token Approval Checker等授權撤銷工具。對於較大的交易或領取,請堅持使用帶有明確簽名的硬體錢包,這樣你就能確切看到正在批准的內容。將每個「批准」按鈕都視為一份合約;如果你不仔細檢查,它可能會暴露你整個錢包的資金。
4. 商業電子郵件詐騙(BEC)與高階主管冒充
商業電子郵件詐騙(BEC)如何運作 | 來源:Palo Alto Networks
在2025年牛市期間,商業電子郵件詐騙(BEC)和高階主管冒充詐騙在加密貨幣公司中日益增加。攻擊者會精心製作看起來像是來自創辦人、財務長甚至外部法律顧問的電子郵件或簡訊。他們不會發送連結或惡意軟體,而是使用純文字指令,例如「緊急轉帳到這個臨時錢包」。由於這些訊息看起來很正常且不含惡意附件,因此通常能避開垃圾郵件過濾器。
這些詐騙利用壓力和權威來達到目的。攻擊者通常會加入急迫性(「資金必須今天發送」)或保密性(「在交易完成前不要告訴任何人」),以迫使員工跳過正常的檢查程序。危險訊號包括突然的錢包地址變更、超出正常流程的支付請求,或繞過正常會計工作流程的指令。在一些備受矚目的案例中,一則看似可信的訊息就導致數百萬美元的加密貨幣被盜。
2025年的Bybit駭客事件就是一個備受矚目的案例:北韓的Lazarus Group利用社會工程學手法滲透一家受信任的第三方開發商,竊取了15億美元的加密貨幣。這顯示了即使是防護良好的交易所,也可能因人為錯誤而被攻破。
最好的保護是嚴格遵守流程紀律。始終透過已驗證的電話號碼或安全通道進行回撥來驗證新的支付地址,切勿透過同一封電子郵件回覆。大型轉帳需多人批准,這樣任何單一員工都不會因壓力而單獨行事。培訓財務和營運團隊辨識社會工程語言,其重要性不亞於運行防火牆或審核。
5. 假冒招募人員與「能力評估測試」
在2025年牛市中,假冒招募人員的詐騙已成為一種常見手段,特別是當加密貨幣公司急於招聘人才時。攻擊者會假扮成人力資源經理或獵頭,透過LinkedIn、Telegram或電子郵件發送高薪職位的邀約。一旦建立信任,他們就會寄送「技術評估」或「Zoom外掛」,暗中安裝鍵盤側錄程式、剪貼簿劫持程式或錢包竊取程式。安全分析師甚至追溯到某些詐騙活動是由針對開發人員的國家級團體所主導。
這種攻擊的危險在於它們被設計得看起來很專業。受害者經常收到受密碼保護的ZIP檔案(以繞過安全掃描器),並被要求「為相容性」禁用防毒軟體。還有些人被要求安裝看似合法但實際上是惡意軟體的會議軟體或時間追蹤器。由於這種詐騙手法模仿了真實的招聘流程,即使是經驗豐富的開發人員也可能上當。
2025年7月的CoinDCX搶劫案就是這種社會工程攻擊的一個例子。駭客假扮成招募人員,誘騙公司工程師接受虛假的自由接案工作,並說服他在辦公室筆記型電腦上安裝惡意軟體。在數小時內,攻擊者從一個流動性錢包中竊取了4400萬美元。這顯示了當員工在桌上型電腦層面成為攻擊目標時,即使是大型交易所也可能因招聘相關的詐騙而遭受損失。
為了保護自己,請謹慎對待每一個未經請求的招募訊息。只在沒有儲存私人資料或錢包的一次性沙盒或虛擬機器中運行評估測試。永遠不要在用於處理未經驗證文件的裝置上管理你的加密貨幣錢包。在下載任何內容之前,直接向公司的官方職涯頁面或人力資源團隊確認工作邀約。多做幾次額外的檢查,既能保護你的職業聲譽,也能保護你的加密貨幣資產。
6. AI 語音/影像深偽技術與「緊急」支付騙局
隨著 AI 工具讓模仿聲音乃至即時視訊變得輕而易舉,深偽(Deepfake)詐騙在 2025 年激增。攻擊者會假冒同事、老闆或家人,以緊急情況為由催促受害者採取行動,例如將加密貨幣轉移到「安全錢包」或讀出一次性密碼。由於聲音和臉孔都相當熟悉,許多受害者會不假思索地照辦。
此類騙局的關鍵在於營造緊迫感與孤立感。假冒者通常聲稱情況具有時效性,例如「資金必須在幾分鐘內轉移」或「除非你現在行動,否則我們將被鎖在系統外」。他們也會避免切換到官方企業頻道或具有更強驗證功能的視訊工具。其目的是讓你感到壓力並切斷與正常查證管道的聯繫。
為確保安全,請養成「不輕信,先驗證」的習慣。對於敏感請求,務必透過第二管道進行確認,例如回撥已儲存的號碼或向其他團隊成員確認。對於大額轉帳,可使用回撥碼或預設的「安全詞」,只有你的團隊成員才知道。這個簡單的習慣可以阻止最為逼真的 AI 假冒。
7. SEO/廣告釣魚與網路釣魚頁面
SEO 釣魚攻擊範例 | 來源:Hunt.io
SEO 和廣告釣魚詐騙透過讓惡意網站出現在 Google 或社群媒體搜尋結果的頂端來欺騙用戶。詐騙者購買廣告或利用黑帽 SEO 來提升網頁針對熱門關鍵詞(如「錢包空投」、「領取獎勵」或「新代幣發行」)的排名。有些甚至會入侵合法部落格或社群頁面,注入惡意腳本、假的領取按鈕或木馬程式安裝包。對於毫無戒心的交易者來說,這些網站看起來與可信賴的平台一模一樣。
此類頁面通常極具時效性且可信。在代幣空投或預售等熱門活動期間,快速的 Google 搜尋可能會直接導向一個假的領取頁面。受害者連接錢包、簽署授權後,資產會瞬間被盜。只有一些細微的線索,例如拼寫錯誤的域名(binqX.com 而非 BingX.com)或奇怪的網域後綴,通常是唯一的破綻。
為確保安全,切勿僅憑藉搜尋結果或廣告來存取加密貨幣網站。相反,請手動輸入 URL 或在驗證其真實性後將其儲存為書籤。在點擊 Discord、Telegram 或 X 上分享的連結前,務必再三檢查。如有疑問,請從 BingX 公告或專案文件中確認官方網站。這個簡單的習慣可以有效避免大多數 SEO 釣魚和網路釣魚陷阱。
8. 頻繁交易錢包中的地址投毒
地址投毒(Address poisoning)詐騙鎖定那些頻繁複製貼上錢包地址的繁忙交易者。攻擊者會發送零價值的「塵埃」交易,其地址看起來與真實聯絡人的錢包地址幾乎一模一樣,通常開頭和結尾的幾個字元都相同。之後,當受害者發送資金時,他們可能會不小心從自己的交易歷史中複製到假的地址,在不知情的情況下將資產直接發送給詐騙者。
這種手法之所以奏效,是因為大多數錢包只顯示地址的開頭和結尾字元,讓人產生一種錯誤的熟悉感。在牛市期間忙碌的交易或轉帳過程中,用戶常常會跳過完整驗證。即使是經驗豐富的投資者,也曾因將代幣發送到看起來很熟悉但實際上並未儲存的被投毒地址而損失數千美元。
為確保安全,切勿僅依賴歷史記錄或部分匹配來複製地址。請使用錢包功能,例如地址白名單,仔細核對整個字串,或使用 ENS(以太坊名稱服務)或 TON DNS 等命名服務,以獲得更便於人類閱讀的識別碼。將歷史記錄中每個新的或意外的「塵埃」轉帳視為危險訊號;它可能是一個導致更大損失的圈套。
9. 「技術支援」與恐嚇軟體騙局
技術支援詐騙利用人們對權威的信任。攻擊者假扮 IT 人員、安全供應商,甚至是交易所或錢包支援人員。他們聯絡受害者,聲稱要修復問題或提供緊急「升級」,然後迫使他們安裝時間追蹤器、防毒軟體或修補程式。這些檔案實際上是錢包盜取程式或遠端存取木馬,可以讓詐騙者完全控制你的系統。一旦成功入侵,詐騙者就能清空錢包、記錄鍵盤輸入,並複製私鑰等敏感檔案。
另一種常見手法是恐嚇軟體彈出視窗。當用戶瀏覽網頁時,會突然看到假警報,例如「你的系統已被感染,點此清理」。這些警告會模仿 Windows 或 macOS 的通知,並引導下載看似合法的檔案。受害者安裝「修復程式」後,該程式會暗中記錄憑證、劫持剪貼簿或注入錢包盜取程式。此類訊息的緊迫性旨在繞過邏輯思考,迫使用戶立即行動。
在假冒技術支援的社交工程騙局中,價值超過 9,100 萬美元的比特幣錢包被盜 | 來源:CoinDesk
風險是真實存在的:在 2025 年 8 月 19 日,一名受害者在被冒充硬體錢包支援人員的詐騙者欺騙後,交出了錢包憑證,損失了 783 個 BTC,價值約 9,140 萬美元。這些被盜資金很快透過 Wasabi Wallet 進行轉移以隱藏蹤跡。這起由區塊鏈偵探 ZachXBT 揭露的事件,凸顯了一時的輕信可能導致災難性的損失。為確保安全,只從官方供應商管道下載軟體,管理錢包時切勿授予遠端存取權限,並將錢包活動與一般瀏覽分開。
10. 社群接管與被盜用的版主帳號
社群接管詐騙鎖定加密貨幣用戶最感安全的場所,如 Discord、Telegram 和 X 群組。攻擊者會劫持長期版主甚至經認證的專案代表的帳號,然後發布緊急訊息,例如「立即遷移你的代幣」或「今天領取你的空投」。由於這些貼文來自可信賴的內部人士,受害者更有可能毫不猶豫地進行點擊。
部分詐騙活動手法更為進階,會利用竄改過的活動照片、偽造的投資人公告或複製網站來營造正當性。在 2025 年,多個 Telegram 社群回報出現管理員帳號遭駭的狀況,這些帳號發布惡意的「申領」連結,誘導使用者在發文後數分鐘內簽署錢包盜取合約。由於結合了信任和急迫性,這類詐騙是即時偵測上最困難的一種。
為了保護自己,請務必透過至少兩個官方管道(例如專案的官網和經過驗證的 X 帳號)交叉驗證公告。對於連結到全新網域的貼文要保持警惕,即使它們來自熟悉的名字也一樣。根據經驗法則,預設將任何「遷移」或「空投申領」通知視為高風險,並在互動前進行驗證。多花幾分鐘的謹慎可以防止不可逆轉的錢包資產流失。
如何保護自己免於社交工程攻擊
詐騙在市場熱度高漲時擴散最快——以下五個習慣可以幫助您保持領先一步。
1. 區分並保護設備:將錢包保存在專用設備上,並搭配硬體錢包使用;如果您必須開啟未知檔案,請使用沙盒或虛擬機。切勿將遊戲、工作和錢包管理混用在同一台設備上。
2. 控制您簽署的內容:閱讀每個錢包提示,限制代幣授權額度,並使用 Revoke.cash 這類工具每月審查授權。大多數盜取事件都發生在盲目簽署時。
3. 驗證後再行動:切勿只相信提出要求的同一管道。透過已儲存的聯絡人、客服系統或官方公告來確認資金轉帳或地址變更,而非私人訊息。
4. 堅守可信賴管道:將官方網址加入書籤,避免點擊贊助的「申領」連結,停用陌生人的私人訊息,並假設任何主動向您搭話的「朋友」都可能是圈套。大額轉帳時應使用多重簽名和雙重控制。
5. 強化基本功並備妥計畫:啟用多重認證(MFA),使用密碼管理器,並保持軟體更新。訓練團隊識別利用急迫性或權威來施壓的策略,並準備好事件應變計畫,以便在發生問題時立即撤銷授權和報案。
BingX 如何協助您降低社交工程風險
BingX 提供多重內建防護,讓您安心交易。您可以啟用雙重認證(2FA)、防釣魚碼和提幣白名單,以阻擋未經授權的存取。BingX 學院也提供最新的詐騙警示和分步教學安全指南,幫助您領先一步,防範市場中的新威脅。如果您覺得有異狀,BingX 客戶支援隨時為您服務;您可以提交工單,並附上您的訂單 ID、交易哈希和螢幕截圖,以獲得即時協助。
然而,如果您自願將資金授權給惡意合約或發送到平台外,任何交易所都無法提供保護。最強大的防禦是您的個人行為:不要安裝未經驗證的軟體、不要盲目簽署錢包提示,也不要讓急迫性凌駕於謹慎之上。結合 BingX 的安全防護與您的聰明習慣,您可以在這波牛市中更安全地保護您的資產。
總結
2025 年的牛市為加密貨幣帶來巨大機會,但同時也加劇了社交工程詐騙的規模和複雜度。從 Discord「遊戲」誘餌、假冒的新創公司下載、深度偽造,到授權釣魚,攻擊者不斷演變其手法,利用信任、急迫性和人為疏失。
維持安全需要結合平台防護和個人紀律。BingX 提供雙重認證、提幣白名單以及 BingX 學院的教育資源來強化您的防禦,但最終責任仍在於您。務必隨時驗證請求,避免盲目簽署,並謹慎對待非請自來的邀請。
請記住:加密貨幣交易是不可逆轉的,一次疏忽可能導致永久損失。在即將到來的牛市中,保持警覺是您最好的保護。
相關閱讀
關於加密貨幣社交工程詐騙的常見問答
1. 2025 年最熱門的社交工程詐騙是什麼?
此輪週期中最熱門的手法是基於 Discord 的「來試試我的遊戲」誘餌和假冒的新創公司下載連結;兩者都是以友善的名義來散布錢包竊取程式。
2. 為什麼社交工程詐騙能夠規避稽核?
它們針對的是人,而不是智能合約,不需要利用程式碼漏洞。一次倉促的授權或不安全的下載就足以讓攻擊得逞。
3. 如何快速發現授權釣魚?
留意要求授予陌生合約無限支出權限的請求,以及那些充滿炒作性「立即申領」的頁面。定期撤銷舊的授權。
4. 深度偽造詐騙真的是加密貨幣的風險嗎?
是的,人工智慧語音/影像複製被用來催促付款或分享一次性密碼。務必透過第二個管道上的已儲存聯絡人來進行驗證。
5. 懷疑自己遭受社交工程攻擊後,該怎麼辦?
斷開錢包連接、撤銷授權、將剩餘資產轉移到一個乾淨的硬體錢包、更改密碼/雙重認證,並立即報案(同時聯繫相關平台)。
