投資者因加密詐騙損失 783 枚 BTC，資金透過 Wasabi 洗黑

有消息指一名加密投資者在近年最大型社交工程詐騙之一中損失了 783 枚比特幣，價值逾 9,100 萬美元。這宗 8 月 19 日的事件由鏈上調查員 ZachXBT 揭露，再次突顯即使是資深用戶，加密保安仍然有人的漏洞。

一般加密貨幣新聞多聚焦於智能合約漏洞或交易所被黑，但今次這次攻擊是詐騙者如何透過操控信任繞過複雜系統的典型案例。

今次疑犯冒充加密交易所以及硬件錢包供應商的客服人員，以「技術支援」為由，誘使受害人交出敏感資料。

此案是目前已知金額最大型的社交工程詐騙之一，再次提醒大家，保安鏈中最脆弱的重點往往並不是程式碼，而是人的行為。

林上偵探 ZachXBT 指出，大量 BTC 突然轉移，再經鏈上數據及他 8 月 21 日於 X（前稱 Twitter）發文，證實被盜的 783 枚 BTC 在失竊後不久就被轉移，並大量流入 Wasabi Wallet，一款以提升私隱為賣點的比特幣混幣服務。

ZachXBT 在 X 發文說：「近日有受害者在社交工程詐騙中損失了 783 枚 BTC（約 9,100 萬美元），資金本周已透過 Wasabi 多次轉動。」

雖然受害人的身份未有公開，但涉及金額顯示目標很大可能是高資產人士或機構投資者。疑犯一人分飾交易所代表及硬件錢包技術員，手法細緻，專門針對信任及混亂著手。

根據報道，是次詐騙涉及多層冒充及釣魚技倆，疑犯主動聯絡受害人後，慢慢游說對方交出關鍵登入資料，包括私鑰或者助記詞都有可能。

社交工程攻擊並非入侵系統，而是操控用戶主動交出資料。在加密世界，這類手法常見包括：

不同於暴力破解或智能合約攻擊，社交工程無需技術漏洞，並且被發現時往往已經太遲。

而加密貨幣屬於不可逆轉轉帳，一旦資金被轉走極難追回——特別是經過 Wasabi 等私隱工具或混合器如 ChipMixer、Tornado Cash 清洗。

本星期 9,100 萬美元劫案幾乎正值一年前利用社交工程手法詐騙 Genesis 債權人 2.43 億美元。當時黑客假冒受信任管理員，誘使用戶簽署惡意交易或交出助記詞。

事件時間點令部分資安分析員質疑，大型詐騙可能會刻意選擇特定時間——例如往年案發日、大型市場事項或協議升級時——因為人手繁忙易鬆懈。

雖然加密業界在冷錢包、multisig 錢包、硬件裝置生物認證等方面有進步，但這些措施無法避免「人」這一層的風險。Chainalysis 及 CertiK 數據指，2024 年超過 1/4 重大加密損失來自社交工程，僅次於智能合約漏洞。

受害者也不只是新手。「我們見到不少資深投資者都中招，」網絡保安專家 Chris Blec 指出，「冒充者往往耐心、有準備，對心理操控非常有一手。他們不是亂猜密碼，而是獲取信任。」

這次事件清楚反映提高警覺、懷疑心及查證程序的重要性。專家建議以下守則：

錢包供應商、交易所和 DeFi 平台亦有責任。現時不少平台已加入防冒充警告、即時詐騙提示、用戶教育等。但今次事件證明，仍需加強防護。

追回被盜加密貨幣時最大難題之一是利用私隱錢包和混幣器的洗錢。在本案中，大部份失竊 BTC 被發送到採用 CoinJoin 混合協議的 Wasabi Wallet，將用戶交易混合，難以追蹤資金去向。

私隱工具本身可用於保護維權人士資金及反監控，但同時也可惡用來洗黑，為區塊鏈鑑證增加極大難度。

執法機構面對嚴重限制，除非疑犯犯錯或試圖經受規管交易所提款，否則難以凍結或追回款項。

ZachXBT 若能持續監控後續流向或有幫助，但缺乏現實身份及交易所 KYC 情況下，追回希望極微。

事後安全專家再度呼籲改善用戶啟動流程，包括釣魚模擬、互動教學及 AI 系統，用以在資金被盜前辨識可疑行為。

Ledger、Trezor、Coinbase、MetaMask 等公司均陸續加入即時詐騙提示、釣魚黑名單、錢包內部支援驗證，但這些措施大多為選用功能，未足以盡善盡美。

有人主張未來協議建構去中心化身份層或錢包信譽評分，方便用戶驗證官方支援人員或建立錢包信任分數，但仍屬初期構思。

最後感想

783 枚 BTC 因社交工程攻擊失竊，是最大型、最觸目的警號之一——加密安全不僅是技術，還考驗人性。隨著 Web3 普及，詐騙手法亦日益進化。

無論程式碼審計、多簽設計或私隱層有多完善，最關鍵的一環始終是教育及懷疑精神。在一個不可逆的金融體系，只需一時不察，就可能一世辛苦儲蓄化為烏有。

除非業界找到更好方法令用戶自我保護，否則社交工程仍將是加密世界最棘手的風險。