2026 年 1 月,BTC Prague 的组织者之一 Martin Kuchar 在 Telegram 上收到一条消息。一个熟识的联系人、一个被盗用的账户、一个熟悉的语境——一份加入通话的邀请。链接指向一个视觉上与 Zoom 完全相同的页面。随后便是标准剧本:音频问题、提示安装更新。这就足够了。
这并非传统意义上的钓鱼。没有一封带错别字、发件地址古怪的可疑邮件。这是一场信任操控行动——正因如此,它甚至对经验丰富的加密市场参与者也奏效。
威胁的规模
据 FBI 数据,2025 年美国用户提交了 181,565 起与加密货币欺诈相关的投诉。每起投诉的平均损失为 62,604 美元。投资骗局造成的总损失达 72.3 亿美元,占当年有记录的 113.6 亿美元加密欺诈的一部分。
其中,冒充身份类攻击在 2025 年同比增长超过 1,400%。受害者的平均付款额从 2024 年的 782 美元升至 2025 年的 2,764 美元。
这些攻击中相当大一部分可追溯至单一组织:Lazarus Group 及其附属的朝鲜情报单位。据 FBI 和 Mandiant 的数据,2025 年他们盗取了 20.2 亿美元加密货币——比上一年增长 51%。2025 年 2 月的 Bybit 攻击——单次行动 15 亿美元——被 FBI 直接归因于他们。
攻击如何运作:分步拆解
行动早在任何通话发生之前就已开始。攻击者通过 Telegram、LinkedIn、电子邮件或 X 接触目标。一名伪招聘者提供月薪 16,000 至 44,000 美元的 Web3 职位。一位「投资人」想商谈一笔交易。一位「合作伙伴」想建立联系。一切看起来都像例行的商务接触——因为在加密行业,陌生人之间确实每天都在互相联系。
下一步是会议链接。受害者看到一个以假乱真的仿冒:带有其他参会者音频提示的 Zoom 等候室、界面正确的 Google Meet 页面。域名是专门伪造的:uswebzoomus[.]com、googlemeetinterview[.]click、9ooggleactivemeett[.]live。据 Netcraft 和 Malwarebytes,运营者会预先在多家托管服务商处准备备用域名——预料到不可避免的封禁。
在虚假会议页面上,会弹出一条错误提示:麦克风问题、需要更新客户端、需要安装扩展。受害者被要求在终端粘贴一条命令、下载安装程序或运行脚本。这一环节被刻意设计得像例行的技术排障。这正是它奏效的原因。
安装之后,攻击者便获得完全访问权限:击键记录、剪贴板监控、实时截图、浏览器数据,以及钱包扩展数据——MetaMask、Trust Wallet、Phantom 等。在 macOS 上,还有 iCloud 钥匙串。凡是曾在该设备上输入或复制过的任何助记词或私钥,都应视为已泄露。
并非深度伪造的「深度伪造」
技术上最精妙的元素之一,是 Kaspersky GReAT 所记录的 GhostCall。攻击者在此前受害者不知情的情况下录下其摄像头视频。在与下一个目标通话时,他们回放这段影像——受害者看到的是其职业人脉中一位真实人物的「实时」视频流。
这在技术意义上并非深度伪造。它是受害者很可能认识的一个真实人物的录像。攻击者始终「音频有问题」,只通过文字聊天沟通。从心理层面看,这是一个近乎完美的陷阱:你看到熟悉的面孔,在录像里听到熟悉的声音,毫无怀疑的依据。
在攻破一台设备后,攻击者立即获得受害者的 Telegram 联系人,并利用该账户把同一条链接发送给下一波潜在目标。攻击通过受信任的职业网络传播,没有任何外部迹象。
幕后是谁
Lazarus Group、BlueNoroff、UNC1069、TraderTraitor、Famous Chollima——这些都是由朝鲜侦察总局运作的同一行动之下各子单位的名称。由 FBI、Mandiant 和 Kaspersky 归因。自 2021 年起,其主要焦点一直是 Web3。
2025—2026 年有记录的活跃行动:Contagious Interview——末尾带有 ClickFix 载荷的虚假招聘面试。据 SentinelLABS,仅 2025 年第一季度就至少有 230 人受害,实际数字很可能更高。GhostCall——针对 Web3 高管和风险投资人的虚假 Zoom 通话。Mach-O Man——通过被盗用的 Telegram 账户、针对加密和金融科技企业高层的攻击。
Drift Protocol 一案尤其值得关注。Lazarus 花了六个月进行渗透:在多个国家的会议上与团队当面会面,投入 100 万美元真实资金以建立可信度。而 2.86 亿美元的盗取仅耗时 12 分钟。这不是骗局——而是一场有预算、有规划周期的国家级行动。
据 Mandiant 和 Google 威胁情报小组,UNC1069 单位已被正式记录使用 Google Gemini 进行行动研究、生成针对特定受害者的个性化诱饵内容并编写代码。这是国家级行为者层面的攻击自动化。
为何标准安全建议在此失效
「不要点击可疑链接」这一惯常建议在此语境下毫无用处。链接看起来就是 Zoom。域名与真实域名视觉上一模一样。视频流中的人是受害者真正认识的人。安装程序用有效的数字证书签名——那证书是从一家合法公司窃取的。杀毒软件保持沉默,因为有些攻击者根本不部署定制恶意软件,而是改用商业企业监控软件。
「我们在调查中经常遇到这种攻击模式。与传统钓鱼的根本区别在于,这里没有技术漏洞利用。在链上,交易看起来完全合法——由钱包所有者授权。正因如此,一次到位的调查不仅需要链上追踪,还需要链下事件重建:攻击时间线、入口向量的识别、设备分析。在与执法机构协作时,二者缺一不可。」
—— Ais Dorzhinov,Match Systems 联合创始人
这是一类从根本上不同的威胁:一场信任操控行动,而非技术漏洞利用。防御必须是运营层面的——而不仅仅是技术层面的。
如何保护自己:真正有效的做法
对个人持有者和投资者而言,即使设备被完全攻破,硬件钱包仍是唯一可靠的屏障。一个从未在电脑上出现过的助记词,无法通过恶意软件被窃取。一台专供加密操作使用的专用设备——不用于浏览、通话或下载文件——并非偏执,而是运营卫生。
最重要的单项措施:在任何意外通话之前,通过另一渠道进行核实。如果一位「合作伙伴」在 Telegram 上给你发消息——请拨打你通讯录里的电话号码,而不是通过 Telegram。如果一位「招聘者」发来 Meet 链接——通过 Google 找到该公司并直接联系。多一步核实,就能封堵住大多数攻击场景。
对于公司和团队:将企业钱包与办公设备隔离,对重要资产使用密钥分离的多重签名,禁止安装批准清单之外的任何「会议软件」。所有客户端更新都必须直接来自官方网站——绝不通过聊天中的链接。定期为团队做简报,配以当前手法的具体案例——不是作为合规走过场,而是作为真正的备战。
一项被低估的组织措施:如果你团队或职业人脉中有人被攻破,立即通知其所有联系人。GhostCall 式攻击会通过受信任网络瞬间传播,而通知的速度直接影响有多少人成为下一个受害者。
如果已经发生:最初几小时至关重要
Bybit 的资金抽取用了几个小时。Drift Protocol——12 分钟。一旦资金离开主钱包,每一分钟都在收窄冻结的窗口。
Lazarus 行动中被盗资金的典型转移模式:立即提往中间地址,通过 DEX 兑换以切断直接的链上关联,跨链桥转移到另一网络,分散到数十个中间地址,最终通过 KYC 要求薄弱的 OTC 运营方提现或兑换为门罗币(Monero)。
在这类案件中,区块链取证可通过链上行为模式进行地址归因、追踪资金经由跨链桥和兑换的流动、标注目标地址,并在最终提现之前向交易所发送冻结通知。它还支持为执法请求和法律程序整理链上数据。需要理解的一个重要局限:如果资金已通过小型、未标注的兑换商提走,可选项就会大幅减少。这正是最初几小时反应速度具有决定性的原因。
如果事件已经发生,不要把时间花在自我分析上。请联系专门从事加密货币盗窃调查与资产追回的专业机构。
