撰文：ChandlerZ，Foresight News

安全就像链条，取决于最薄弱的环节。而人，即是密码系统里的阿喀琉斯之踵。当市场还沉迷于构建更复杂的密码学保护机制时，攻击者早已发现了一条捷径：不必破解密码，只需操纵使用密码的人。

人员是最薄弱的环节，同时也是最不受重视的环节。换而言之，人员是黑客最容易突破和利用的漏洞，同时也是企业安全投入最少，提升最慢的短板。

根据区块链分析公司 Chainalysis 的最新报告，2024 年，朝鲜黑客发动了 47 次复杂的攻击活动，从全球加密资产平台盗走了价值 13 亿美元的资产，同比增长 21%。更为惊人的是，2025 年 2 月 21 日，Bybit 交易所遭遇黑客攻击，导致价值约 15 亿美元的加密资产被盗，创下了加密历史上单次盗窃案的新纪录。

过往诸多重大攻击事件中，很多并非通过传统的技术漏洞实现。尽管交易所和项目方每年投入数十亿美元用于技术防护，但在这个看似由数学和代码构建的世界里，许多参与者往往低估了社会工程学带来的威胁。

在信息安全领域，社会工程学一直是一种独特且危险的攻击手段。与通过技术漏洞或加密算法缺陷来侵入系统不同，社会工程学主要利用人类心理弱点和行为习惯对受害者实施欺骗和操控。它不需要太高深的技术门槛，却往往能造成极其严重的损失。

数字时代的到来为社会工程学提供了新的工具和舞台。在加密领域，这种演变尤为明显。早期的加密资产社区主要由技术爱好者和密码朋克组成，他们普遍具备警惕性和一定的技术素养。但随着加密资产逐渐普及，越来越多并不精通相关技术的新用户进入市场，由此为社会工程学攻击创造了肥沃的土壤。

另一方面，高度匿名和不可逆转的交易特性，使得加密资产成为攻击者收割利润的理想目标。一旦资金被转移至他们控制的钱包，几乎无法追回。

社会工程学之所以在加密领域能够轻易得手，很大程度上源于人类决策过程中的各种认知偏差。确认偏误会让投资者只关注符合其预期的信息，从众心理则容易引发市场泡沫，FOMO 情绪常常导致人们在面临亏损时做出非理性选择。攻击者正是通过熟练运用这些心理弱点，巧妙地将其「武器化」。

相比尝试破解复杂加密算法，发动社会工程学攻击的成本更低，成功率更高。一封精心伪造的钓鱼邮件、一份看似正规却暗藏陷阱的求职邀请，往往比直面技术难题更有效。

社会工程学攻击手法虽然种类繁多，但核心逻辑依旧围绕「骗取目标的信任和信息」这一点展开。以下是几种常见手段简要说明：

钓鱼（Phishing）