跳到主要内容

价值 2.82 亿美元的电话:揭秘 2026 年最大的社会工程学加密货币劫案

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

UTC 时间 2026 年 1 月 10 日晚上 11:00,有人接听了一个电话,随后损失了 2.5 亿美元。没有智能合约被利用,没有交易所被黑客攻击,也没有私钥被量子计算机破解。仅仅是因为一个人相信自己正在与硬件钱包支持人员通话,就向骗子透露了其 24 个助记词——这是开启 1,459 枚比特币和 205 万枚莱特币的万能钥匙。

这起总计 2.82 亿美元的盗窃案,目前是加密货币历史上最大的个人社交工程攻击,超过了 2024 年 8 月创下的 2.43 亿美元的先前纪录。但随后发生的事情揭示了加密生态系统中同样令人不安的一面:在几小时内,被盗资金引发了门罗币(Monero)价格飙升 30%,暴露了去中心化基础设施在洗钱中备受争议的角色,并重新引发了关于“代码即法律”是否意味着“允许犯罪”的辩论。

2.5 亿美元诈骗案解析

这次攻击极其简单。根据最早公开记录这起盗窃案的区块链调查员 ZachXBT 的说法,受害者接到一个自称代表 “Trezor Value Wallet” 支持人员的电话。安全公司 ZeroShadow 后来证实了攻击者的冒充策略,这些策略遵循一个熟悉的剧本:制造紧迫感、确立权威,并操纵目标泄露其助记词。

像 Trezor 这样的硬件钱包专门设计用于将私钥保持在离线状态,免受远程攻击。但它们无法防御任何安全系统中最脆弱的组成部分:人类操作者。受害者认为他们是在针对合法的支持请求验证钱包,于是交出了控制其全部财富的 24 个单词。

几分钟内,价值 1.53 亿美元的 205 万枚莱特币(Litecoin)和价值 1.39 亿美元的 1,459 枚比特币(Bitcoin)开始在区块链上转移。

洗钱操作:从比特币到不可追踪

接踵而至的是一场加密货币混淆的“大师课”——在安全研究人员实时观察的情况下执行。

攻击者立即转向了 THORChain,这是一个去中心化的跨链流动性协议,可以在没有中心化中介的情况下实现不同加密货币之间的兑换。根据 ZachXBT 记录的区块链数据,818 枚 BTC(价值约 7,800 万美元)通过 THORChain 兑换成了:

  • 19,631 枚 ETH(约 6,450 万美元)
  • 315 万枚 XRP(约 650 万美元)
  • 77,285 枚 LTC(约 580 万美元)

但被盗资金中最重要的部分流向了一个更难追踪的地方:门罗币(Monero)。

门罗币飙升:当被盗资金搅动市场

门罗币(XMR)从设计之初就是不可追踪的。与比特币每个交易在区块链上公开可见不同,门罗币使用环签名(ring signatures)、隐身地址(stealth addresses)和 RingCT 技术来掩盖发送者、接收者和交易金额。

随着攻击者通过多个即时交易所将大量比特币和莱特币转换为门罗币,突然激增的需求使 XMR 从 612.02 美元的低点推至 717.69 美元的单日峰值,涨幅超过 17%。一些报告指出,XMR 在 1 月 14 日曾短暂触及 800 美元。

讽刺的是:攻击者的罪行在字面上让每一个门罗币持有者都变得更富有,至少是暂时的。在最初的飙升之后,随着人为需求的消退,XMR 跌至 623.05 美元,24 小时内跌幅达 11.41%。

当安全研究人员完全勾勒出资金流向图时,大部分被盗资金已经消失在门罗币的隐私保护架构中——这实际上使它们无法追回。

ZeroShadow 与时间的赛跑

安全公司 ZeroShadow 在几分钟内检测到了这起盗窃案,并立即开始工作以冻结他们所能冻结的资产。他们的努力设法在约 70 万美元被转换为隐私代币之前将其标记并冻结。

这仅占被盗总额的 0.25%。剩下的 99.75% 已经消失了。

ZeroShadow 的快速响应凸显了区块链安全的各种能力和局限性。公共区块链的透明特性意味着盗窃几乎瞬间可见,但一旦资金进入隐私币,这种透明度就变得毫无意义。从检测到转换为不可追踪资产之间的时间窗口只能以分钟计。

THORChain:去中心化的道德风险

这起 2.82 亿美元的盗窃案再次引发了对 THORChain 的强烈批评,这个去中心化协议处理了大部分洗钱操作。这并不是 THORChain 第一次因为促进被盗资金转移而面临审查。

Bybit 前例

2025 年 2 月,被称为拉撒路小组(Lazarus Group)的朝鲜黑客从 Bybit 交易所窃取了 14 亿美元,这是历史上最大的加密货币盗窃案。在接下来的 10 天里,他们通过 THORChain 洗掉了 12 亿美元,将盗取的 ETH 转换为比特币。该协议在一周内记录了 46.6 亿美元的兑换量,据估计,该期间 93% 的 ETH 存款可追溯到犯罪活动。

THORChain 的运营商面临一个选择:停止网络运行以防止洗钱,或者不顾资金来源坚持去中心化原则。他们选择了后者。

开发者出走

该决定引发了内部冲突。一位名为 “Pluto” 的核心开发者于 2025 年 2 月辞职,并宣布在撤销拦截与 Lazarus 关联交易的投票后,将“立即停止为 THORChain 做出贡献”。另一位验证者 “TCB” 透露,他们是投票赞成停止 ETH 交易的三位验证者之一,但该提议在几分钟内就被否决了。

“去中心化的精神仅仅是想法而已,”TCB 在离开该项目时写道。

经济激励问题

批评人士指出,THORChain 仅从 Lazarus 集团的交易中就收取了约 500 万美元的费用——对于一个已经在财务不稳定中挣扎的项目来说,这是一笔巨大的意外之财。2026 年 1 月,该协议曾经历了一次 2 亿美元的资不抵债事件,导致提款冻结。

2.82 亿美元的盗窃案为 THORChain 在加密货币洗钱中扮演的角色增添了又一个数据点。该协议的去中心化架构是否使其在法律或伦理上与中心化货币转移机构有所区别,仍然是一个备受争议的问题——也是监管机构越来越感兴趣回答的问题。

大局观:社会工程学的非对称威胁

这起 2.82 亿美元的盗窃案并非孤例。这是 2025 年主导加密货币安全趋势中最戏剧化的例子。

根据 Chainalysis 的数据,社会工程诈骗和冒充攻击在 2025 年同比增长了 1,400%。WhiteBit 的研究发现,社会工程诈骗占 2025 年所有加密安全事件的 40.8%,使其成为领先的威胁类别。

这些数字讲述了一个令人警醒的故事:

  • 2025 年通过加密诈骗和欺诈被盗的总额估计为 170 亿美元
  • 黑客和诈骗共从用户和平台中掠夺了 40.4 亿美元
  • 158,000 起个人钱包被盗事件,影响了 80,000 名唯一受害者
  • 41% 的加密诈骗涉及网络钓鱼和社会工程学
  • 56% 的加密货币诈骗源自社交媒体平台

AI 驱动的诈骗证明比传统方法利润高出 4.5 倍,这表明随着语音克隆和深度伪造技术的进步,这种威胁只会加剧。

为什么硬件钱包救不了你自己

这起 2.82 亿美元盗窃案的悲剧在于,受害者在很多方面都做对了。他们使用了硬件钱包——加密货币安全的黄金标准。他们的私钥从未接触过连接互联网的设备。他们很可能理解冷存储的重要性。

但这些都不重要。

硬件钱包旨在防御技术攻击:恶意软件、远程入侵、受损的计算机。它们被明确设计为所有交易都需要人工交互。这是一个功能,而不是漏洞——但这意味着人类仍然是攻击面。

没有任何硬件钱包能阻止你向攻击者大声朗读你的助记词。没有任何冷存储解决方案能抵御你自己的信任。如果能被说服泄露你的秘密,世界上最复杂的加密安全也是徒劳的。

耗资 2.5 亿美元错误的教训

永远不要分享你的助记词

这一点无论怎么强调都不为过:没有任何合法的公司、支持代表或服务商会询问你的助记词。Trezor 不会。Ledger 不会。你的交易所不会。你的钱包提供商不会。区块链开发者不会。执法部门不会。任何人都不会。

你的助记词等同于你全部财富的主密钥。泄露它等同于移交一切。这条规则没有任何例外。

警惕主动联系

攻击者主动联系了受害者,而不是相反。这是一个关键的警示信号。合法的支持交互几乎总是从你通过官方渠道发起联系开始的——而不是有人主动给你打电话或发信息。

如果你收到声称来自加密服务的联系:

  • 挂断电话并拨打公司网站上的官方号码回电
  • 不要点击未经请求的电子邮件或消息中的链接
  • 通过多个独立渠道核实联系人
  • 如有疑问,在确认合法性之前不要采取任何行动

了解什么是可以追回的,什么是不可追回的

一旦加密货币转移到 Monero 或通过隐私保护协议进行混币,它实际上就是不可追回的。ZeroShadow 设法冻结的 70 万美元代表了快速反应的最佳情况——但它仍不足总额的 0.3%。

保险、法律追索和区块链鉴识都有其局限性。预防是唯一可靠的保护。

分散持仓

任何单一的助记词都不应控制 2.82 亿美元的资产。将资金分散在多个钱包、多个助记词和多种安全方法中,可以创造冗余。如果一个失败,你不会失去一切。

令人不安的问题

这起 2.82 亿美元的盗窃案让加密生态系统不得不面对一些没有简单答案的问题:

去中心化协议是否应该负责防止洗钱? THORChain 在这次盗窃案以及 1.4 亿美元 Bybit 洗钱案中的角色表明,无需许可的基础设施可能成为犯罪分子的工具。但增加限制从根本上改变了“去中心化”的含义。

隐私币能否与犯罪预防共存? Monero 的隐私功能是合法的,并服务于正当目的。但正是这些功能使得 2.82 亿美元实际上变得无法追踪。技术是中立的,但其影响并非如此。

行业是否为 AI 增强的社会工程学做好了准备? 如果语音克隆和深度伪造技术使冒充攻击的利润增加 4.5 倍,那么当它们变得复杂 10 倍时会发生什么?

2026 年 1 月 10 日的受害者吸取了关于加密货币安全最惨痛的教训。对于其他所有人来说,只要付出关注的代价就能得到这个教训:在一个数十亿资金可以在几秒钟内转移的世界里,最薄弱的环节永远是人。

构建安全的 Web3 应用程序需要强大的基础设施。BlockEden.xyz 提供具有内置监控和异常检测功能的企业级 RPC 节点和 API,帮助开发者在异常活动影响用户之前进行识别。探索我们的 API 市场,在以安全为核心的基础上进行构建。

Share on Twitter