假象與迷局：加密世界中的社會工程與人性博弈

撰文：ChandlerZ，Foresight News

安全就像鏈條，取決於最薄弱的環節。而人，即是密碼系統裡的阿基里斯之踵。當市場還沉迷於建構更複雜的密碼學保護機制時，攻擊者早已發現了一條捷徑：不必破解密碼，只需操縱使用密碼的人。

人員是最薄弱的環節，同時也是最不受重視的環節。換而言之，人員是駭客最容易突破、利用的漏洞，同時也是企業安全投入最少，提升最慢的短板。

根據區塊鏈分析公司Chainalysis 的最新報告，2024 年，北韓駭客發動了47 次複雜的攻擊活動，從全球加密資產平台盜走了價值13 億美元的資產，比去年同期成長21%。更驚人的是，2025 年2 月21 日，Bybit 交易所遭遇駭客攻擊，導致價值約15 億美元的加密資產被盜，創下了加密歷史上單次竊盜案的新紀錄。

在過往許多重大攻擊事件中，許多並非透過傳統的技術漏洞實現。儘管交易所和專案方每年投入數十億美元用於技術防護，但在這個看似由數學和程式碼建構的世界裡，許多參與者往往低估了社會工程學帶來的威脅。

社會工程學的本質與演變

在資訊安全領域，社會工程學一直是一種獨特且危險的攻擊手段。與透過技術漏洞或加密演算法缺陷來侵入系統不同，社會工程主要利用人類心理弱點和行為習慣對受害者實施欺騙和操控。它不需要太高深的技術門檻，卻往往能造成極為嚴重的損失。

數位時代的到來為社會工程提供了新的工具和舞台。在加密領域，這種演變尤其明顯。早期的加密資產社群主要由技術愛好者和密碼朋克組成，他們普遍具備警覺性和一定的技術素養。但隨著加密資產逐漸普及，越來越多不精通相關技術的新用戶進入市場，由此為社會工程攻擊創造了肥沃的土壤。

另一方面，高度匿名且不可逆轉的交易特性，使得加密資產成為攻擊者收割利潤的理想目標。一旦資金被轉移至他們控制的錢包，幾乎無法追回。

社會工程學之所以在加密領域能夠輕易得手，很大程度源自於人類決策過程中的各種認知偏誤。確認偏差會讓投資人只專注於符合其預期的訊息，從眾心理則容易引發市場泡沫，FOMO 情緒常常導致人們在面臨虧損時做出非理性選擇。攻擊者正是透過熟練運用這些心理弱點，巧妙地將其「武器化」。

相較於嘗試破解複雜加密演算法，發動社會工程攻擊的成本更低，成功率更高。一封精心偽造的釣魚郵件、一份看似正規卻暗藏陷阱的求職邀請，往往比直面技術難題更有效。

常見社會工程手法

社會工程學攻擊手法雖然種類繁多，但核心邏輯依舊圍繞著「騙取目標的信任與資訊」這一點展開。以下是幾種常見手段簡要說明：

釣魚（Phishing）

電子郵件/ 簡訊釣魚：利用偽裝成交易所、錢包服務商或其他可信機構的鏈接，誘導用戶輸入種子短語、私鑰、帳號密碼等敏感資訊。

仿冒社交平台帳號：如在推特、Telegram、Discord 等平台假冒“官方客服”、“知名KOL”或“項目方”，發布帶有假鏈接或假活動信息的帖子，誘騙用戶點擊並輸入密鑰或發送加密貨幣。

瀏覽器擴展或假網站：建立與真實交易所或錢包網站極其相似的山寨網站，或誘導安裝惡意瀏覽器擴展，一旦用戶在這些頁面上輸入或授權，就會洩露密鑰。

假客服/ 冒充技術支持

常見於Telegram 或Discord 群組裡，有人冒充「管理員」或「技術客服」，以協助解決儲值不到帳、提幣失敗、錢包同步出錯等問題為由，引導用戶交出私鑰或將幣轉入指定地址。

也可能透過私訊或小群組拉攏受害者，謊稱能「幫忙找回遺失的幣」，實際上是誘騙更多資金或取得金鑰。

SIM 卡交換（SIM Swap）

攻擊者透過收買或欺騙電信業者客服，使受害者手機號在後台被轉移到攻擊者手上。一旦手機號碼被盜用，攻擊者可透過簡訊驗證、雙重驗證（2FA）等方式重設交易所、錢包或社群帳號密碼，從而盜取加密資產。

SIM Swap 在美國等地發生較多，也有此類案件在多國出現。

社交工程結合惡意招募/ 獵頭

攻擊者假借招募名義，向目標的郵箱或社交媒體帳戶發送帶有惡意文件或連結的「工作邀請」，誘騙目標下載並執行木馬。

如果攻擊對像是加密公司內部員工或核心開發者，或個人持有大量幣的「重度用戶」，則可能導致公司基礎設施被入侵、金鑰被竊等嚴重後果。

2022 年Axie Infinity 的Ronin 橋安全事故，據The Block 通報該攻擊事件與一個虛假的招募廣告相關。知情人士透露，駭客透過領英聯繫了Axie Infinity 開發商Sky Mavis 的一名員工，經過幾輪面試告知以高薪被錄用。隨後該員工下載了以PDF 文件呈現的偽造的錄取信，導致駭客軟體滲透到Ronin 的系統，從而駭客攻擊並接管Ronin 網路上九個驗證器中的四個，只差一個驗證器無法完全控制，隨後又控制了未撤銷權限的Axie DAO 來實現最終的入侵。

假空投/ 假贈幣活動

在Twitter、Telegram 等平台出現的假「官方」活動，如「只要轉x 個幣到某個地址，即可翻倍返還」等，其實都是詐騙。

攻擊者也常以「白名單空投」「測試網空投」 為名，透過讓用戶點擊未知連結或連結釣魚網站錢包的形式，誘騙金鑰或授權從而盜幣。

2020 年，歐巴馬、拜登、巴菲特、比爾蓋茲在內的多位美國政商名流以及多家知名企業的社群媒體推特帳號失竊，駭客盜取密碼、接管帳號後發布訊息，以雙倍返還為誘餌，讓用戶將加密貨幣資金發送到指定帳號地址連結。近年來YouTube 上仍有大量冒充馬斯克的「雙倍回饋」騙局。

內部人員滲透/ 離職員工作案

一些加密貨幣公司或專案團隊的離職員工，或被攻擊者收買的在職員工，利用其對內部系統與營運流程的熟悉，竊取使用者資料庫、私鑰或執行未授權交易。

這類場景中，技術漏洞與社會工程結合較為緊密，常造成較大規模損失。

被植入「後門」或已經被竄改的假硬體錢包

攻擊者會在eBay、閒魚、Telegram 群組或其他電商/ 二手交易平台上，以低於市場價或保真保證等噱頭出售硬體錢包，實際上設備內部已被替換了晶片或韌體。也有用戶可能無意中購買翻新機或二手機時，被賣家預先導入了私鑰，一旦買家存入資金，攻擊者就可以隨時用相同私鑰取走。

此外，有用戶在資料外洩事件後，收到偽裝成廠商（如Ledger）寄來的免費更換設備或安全升級版設備，包裝內還附帶新的助記詞卡片和操作說明。一旦用戶使用這些預置的助記詞或將原始助記詞遷移到假設備，攻擊者就能掌握該錢包的全部資產存取權。

上述例子只是冰山一角，社會工程學的多樣性和靈活性使得它在加密貨幣領域的破壞力特別顯著。對絕大多數一般使用者來說，這些攻擊往往防不勝防。

貪婪與恐懼

貪婪心理始終是最容易被操縱的弱點。在市場極度活躍時，有些人會因為從眾效應，對忽然爆紅的項目一哄而上。恐懼和不確定感也是社會工程學常用的突破口。在加密劇烈震盪或專案出現問題時，詐騙者會發布「緊急通知」，聲稱專案處於極端危險狀況，誘導用戶趕緊將資金轉移到所謂的安全地址。許多新手由於懼怕損失，難以保持清醒思考，往往容易被裹挾進這種恐慌情緒中。

另外，FOMO 心態在加密生態裡更是隨處可見。害怕錯過下一輪牛市或下一個比特幣，導致人們急於投入資金和參與項目，卻缺乏對風險與真偽的基本鑑別能力。社會工程攻擊者只需營造機會稍縱即逝、一旦錯過再無翻倍可能的氛圍，就足以讓部分投資人自投網。

風險識別與防範

社會工程學之所以難防，正是因為它面向的是人的認知盲點和心理弱點。作為投資者，應該注意以下關鍵要點：

提高安全意識

不隨意洩漏私鑰和助記詞。在任何情況下，都不要輕信他人而透露自己的私鑰、助記詞或敏感身分資訊。真正的官方團隊幾乎不會透過私聊索取這類資訊。

警惕「不合理的收益承諾」。凡是聲稱「零風險高報酬」「返還本金數倍」的活動，極有可能是騙局。

驗證連結與來源

使用瀏覽器插件或官方管道核對網址。加密貨幣交易所、錢包或去中心化應用程式（DApp）的網站，需要重複確認網域是否正確。

不要隨意點擊來歷不明的連結。若對方聲稱是「空投福利」或「官方補償」，應第一時間到正規社群媒體或官方管道求證。

注重社群與社群媒體甄別

核查官方帳號的認證標誌、粉絲量與互動記錄。避免盲目添加陌生私聊群組、點擊群組內未知連結。

對於「免費午餐」訊息，要保持懷疑態度，多看多問，向有經驗的投資者或官方管道求證。

建立健康的投資心態

理性看待市場波動，避免被短期暴漲暴跌的情緒裹挾。

任何時候都要做好最壞的打算，不要因為「怕錯過」而忽略潛在風險。

人類因素的永恆重要性

人性是社會工程學能反覆得手的根基。攻擊者會針對從眾心理、貪婪、恐懼、不安全感以及FOMO（害怕錯過）等特質，設計出形形色色的騙局。

區塊鏈與加密領域的技術迭代與業務模式不斷拓展，社會工程手段也會隨之進化。深度偽造技術（Deepfake）的成熟可能在不遠的將來呈現出更大的威脅，攻擊者或許會透過合成視訊及音訊的方式，逼真地冒充專案負責人，與受害者即時連線。多維度社交工程也將升級，攻擊者可能跨多個社交平台、長時間潛伏並收集訊息，再透過精心設計的情感操控對目標下手。

社會工程學的持續存在提醒我們，無論技術如何先進，人類因素仍然是系統的核心組成部分。完全消除社會工程學的影響可能是不切實際的，只有同時關注程式碼和人，才可以幫助我們建立更具韌性的系統。