【獨家專訪】資安 CertiK 探討幣圈安全：社交媒體、拉地毯詐騙頻率攀升

過去幾個月，加密貨幣和區塊鏈領域的安全狀況發生了顯著變化。傳統的智能合約漏洞利用或區塊鏈網絡的暴力攻擊，正逐漸被拉地毯騙局（rug pulls）和拉高出貨（pump-and-dump）等加密詐騙手法所取代。

BeInCrypto 深度採訪了資訊安全公司 CertiK 的發言人，以了解區塊鏈和安全威脅的演變，以及幣圈項目和用戶如何防範未來的攻擊。

社群媒體駭客攻擊激增

在過去幾個月中，加密貨幣社區目睹了與社交媒體相關的駭客攻擊的增加。這種日益普遍的趨勢，已從傳統上更複雜的區塊鏈攻擊轉移開來。

拉高出貨（pump-and-dump）是一種常見的加密貨幣詐騙手法，通常由一群人或投資者聯合操控市場價格。他們首先通過大量購買某種加密貨幣（pump），將其價格推高，然後利用社交媒體或論壇等途徑，誇大該貨幣的潛力，吸引其他投資者跟進。

雖然利用智能合約漏洞或區塊鏈攻擊需要更多技術知識含量，但駭客發現了一條更簡單的途徑，即針對社交媒體帳戶進行攻擊。

CertiK 的發言人告訴 BeInCrypto：「社交媒體帳戶因其廣泛的影響力和追隨者對驗證帳號的信任，吸引了許多不法之徒前來盜取。與複雜的區塊鏈攻擊相比，劫持社交媒體帳戶提供了一種更快、技術要求更低的方式，能夠向大量受眾傳播詐騙。此類攻擊頻率的增加表明，駭客正更多地專注於社交工程和憑證盜竊，而非直接的利用區塊鏈漏洞。」

社交媒體攻擊的易操作性，反過來也擴大了能夠進行此類攻擊的惡意行為者的範圍。

「這種趨勢可能部分歸因於惡意行為者的技能差距。例如，『抽水即服務』（drainer-as-a-service）為那些不一定懂得如何操縱智能合約的詐騙者打開了大門。這些詐騙者中有許多年輕一代，這意味著他們更有可能在網上談論自己的財務追求，從而促使更多用戶嘗試利用社交媒體進行惡意活動。」發言人補充道。

X（前身為 Twitter）已迅速成為 Web3 駭客的首選社交媒體平台。

社交媒體成 Web3 駭客攻擊新焦點

在美國總統特朗普（Donald Trump）於就職前兩天推出他的迷因幣後，駭客開始利用這股熱潮入侵知名 X 帳號，並說服追隨者投資詐騙迷因幣。

上個月，匿名駭客接管了馬來西亞前首相馬哈迪（Mahathir Mohamad）的 X 帳號，推廣名為 MALAYSIA 的假迷因幣，聲稱這是該國的官方加密貨幣。

該貼文在一小時內被刪除，但損害已經造成。分析顯示，這些駭客可能與臭名昭著的俄羅斯 Evil Corp 有關，並在此次「拉地毯」（rug pull）詐騙中竊取了 170 萬美元。

Certik 發言人表示：「考慮到 X 是最受歡迎的加密貨幣社交媒體應用程式，平台上受歡迎的帳號成為目標以吸引最多受害者，這並不意外。」

MALAYSIA 代幣詐騙案發生在駭客入侵前巴西總統博索納羅（Jair Bolsonaro）社群媒體帳號的兩週後。當時，詐騙者推廣了 BRAZIL 代幣，該代幣在幾分鐘內飆升超過 10,000%，詐騙者從中獲利超過 130 萬美元。

這些詐騙行為也影響了科技公司。

科技公司遭攻擊

去年 12 月，人工智慧研發公司 Anthropic 的 X 帳號也遭到駭客入侵。一則虛假貼文聲稱，名為 CLAUDE 的假代幣將激勵 AI 和加密項目，並附上了一個供投資者使用的錢包地址。

攻擊者成功從投機投資者那裡收集了大約 10 萬美元。

CertiK 發言人向 BeInCrypto 表示：「這種趨勢是真實且令人擔憂的。全球領導人和科技公司帳號被入侵的事件，凸顯了威脅行為者如何針對具有廣泛影響力的平台，利用它們來放大加密詐騙。這反映了策略的轉變，社群媒體正成為加密相關詐騙的主要途徑。」

這些情況也突顯了社群媒體平台帳號安全性薄弱的更廣泛問題。因此，即使是知名人士也容易受到直接影響加密社群的安全漏洞影響。

TRUMP 迷因幣引爆加密詐騙潮

在 TRUMP 幣推出後，社交工程詐騙的頻率變得更加明顯。今年 1 月，以太坊共同創辦人 Vitalik Buterin 發表了一篇情緒宣洩的社群媒體貼文，批評 TRUMP 幣和迷因幣。

Buterin 表示：「現在是時候談談大規模政治幣跨越了另一條界線：它們不僅是娛樂來源，其危害最多僅限於自願參與者的錯誤，它們還是無限政治賄賂的工具，包括來自外國政府的賄賂。」

Buterin 強調了這些代幣在加密領域中助長詐騙和政治腐敗的角色，並指責前 SEC 主席 Gary Gensler 創造的監管漏洞，讓不良行為者得以利用治理代幣。

然而，這些加密詐騙不僅限於政治主題。

社會工程攻擊激增：趨勢與防範

在 Buterin 警告政治迷因幣的一週後，一名 Coinbase 用戶因在 Base 上遭遇社會/社交工程詐騙而損失了 1150 萬美元。

加密偵探 ZackXBT 揭露了這起事件，指出這是日益增長的趨勢的一部分，多名 Coinbase 用戶也遭受了類似的損失。他估計，這類加密詐騙已從 Coinbase 客戶中榨取了至少 1.5 億美元。

ZachXBT 表示：「Coinbase 存在嚴重的詐騙問題。我剛剛發現了更多 Coinbase 用戶最近的盜竊事件。一年內 Coinbase 用戶被盜的 1.5 億美元僅是我獨立確認的數字，實際數字很可能更高。」

在社交工程詐騙中，攻擊者使用釣魚郵件、偽造電話和其他欺騙手段，誘使受害者透露私鑰或登錄憑證。一旦獲得訪問權限，他們就會清空錢包、轉移資金並控制帳戶。

對於 CertiK 來說，這些情況表明需要更強的安全措施。

發言人表示：「Web3 安全平台正在調整策略，將重點從智能合約漏洞擴展到更廣泛的威脅檢測，特別是社交工程風險。許多平台正在整合 AI 驅動的監控工具，以標記異常帳戶活動，尤其是在社交媒體上，並教育用戶防範冒充詐騙。不斷變化的威脅環境促使安全措施更加全面，將傳統的區塊鏈防禦與社交平台保護相結合。」

隨著新加密項目呈指數級增長，解決這些安全挑戰至關重要。

快速成長產業中的主動安全優先策略

Web3 領域正持續成長，新加密專案的推出數量大幅增加。這股創新動能預計將持續，但也引發了安全隱憂。

值得注意的是，2025 年前三個月詐騙和駭客攻擊事件的增加，顯示安全措施難以跟上創新的步伐。

根據 Precedence Research 的研究，Web 3.0 市場預計將從 2025 年的 46.2 億美元擴展至 2034 年的約 997.5 億美元，期間的年複合成長率（CAGR）預計為 41.18%。

然而，CertiK 認為專案開發者將安全考量置於優先事項的末端。

CertiK 發言人表示：「儘管新專案數量激增，但遵循適當審計協議的情況仍不一致。雖然部分專案優先進行智能合約審計，但其他專案則急於上市，將安全問題擱置一旁，以利用市場趨勢快速獲利。」

可以理解的是，Web3 專案的大量增加，使得安全公司更難跟上需求的速度和廣度。

發言人總結道：「儘管人們對審計重要性的認識逐漸提升，但新項目的推出速度往往超過安全公司的處理能力，導致此類漏洞出現。因此，許多項目容易受到攻擊，這凸顯了整個領域需要更標準化的審計要求。」

隨著 Web3 生態系統的發展，採取主動且靈活的安全策略至關重要。優先考慮區塊鏈的完整性與社交媒體的警覺性，將是保護日益壯大的 Web3 生態系統的關鍵。

對抗這些攻擊的戰鬥，需要一個未來，其中安全不再是事後考慮，而是每個 Web3 項目與用戶互動的基礎支柱。