2024年對(duì)于Web3零售投資者來(lái)說(shuō)，無(wú)疑是一段黑暗而殘酷的時(shí)光。無(wú)數(shù)投資者在詐騙者和黑客的精心策劃下，血本無(wú)歸。盡管精確統(tǒng)計(jì)零售投資者損失的資金規(guī)模極為困難，但犯罪報(bào)告顯示，至少有58.4億美元從他們的錢包中不翼而飛。其中，高達(dá)40億美元因「殺豬盤」騙局而消失，超過10億美元在釣魚詐騙（包括錢包竊取和地址投毒）中流失，另有4.44億美元?jiǎng)t與退出騙局相關(guān)。

2024年的加密貨幣市場(chǎng)環(huán)境，為詐騙者提供了絕佳的作案土壤。從2023年底開始的牛市，在2024年3月14日比特幣創(chuàng)下的73,738美元?dú)v史高點(diǎn)達(dá)到頂峰，吸引了大量資金涌入，不僅包括經(jīng)驗(yàn)豐富的加密貨幣愛好者，更有大批急于入場(chǎng)的零售新投資者。2024年被普遍認(rèn)為是比特幣突破10萬(wàn)美元大關(guān)的一年（最終也確實(shí)實(shí)現(xiàn)了），再加上迷因幣超級(jí)周期的火爆，將2023年看似沉寂的加密貨幣市場(chǎng)轉(zhuǎn)變?yōu)橐粋€(gè)交易活躍的繁榮中心。

許多新手對(duì)加密貨幣世界的風(fēng)險(xiǎn)一無(wú)所知，這使他們?cè)谠p騙者面前毫無(wú)抵抗力。而那些歷經(jīng)熊市磨難的資深交易者，同樣難以抵擋FOMO（害怕錯(cuò)過）的誘惑，為詐騙者提供了完美的獵物。令人震驚的是，除了「殺豬盤」，2024年排名前五的欺詐項(xiàng)目合計(jì)造成了6.11億美元的驚人損失。

以下是2024年最成功的加密貨幣騙局：

### 1. 2.43億美元被盜：年度最大社交工程釣魚搶劫案

2024年最令人震驚的加密貨幣騙局，是一次看似簡(jiǎn)單的社交工程釣魚攻擊，其規(guī)模之大位列年度第二大搶劫案，僅次于朝鮮威脅集團(tuán)對(duì)DMM Bitcoin私鑰的3.08億美元攻擊。這或許也是單次加密釣魚攻擊中個(gè)體損失的最高紀(jì)錄。

2024年8月19日，加密偵探ZachXBT在Twitter上揭露了一筆可疑的2.38億美元轉(zhuǎn)賬，資金通過多個(gè)中心化交易平臺(tái)（CEX）進(jìn)行洗錢和套現(xiàn)。關(guān)于受害者身份的猜測(cè)四起——是個(gè)人、對(duì)沖基金還是交易平臺(tái)？攻擊手法成謎，是私鑰漏洞、釣魚攻擊還是兩者兼有？很長(zhǎng)一段時(shí)間內(nèi)，案件細(xì)節(jié)鮮為人知，直到ZachXBT的兩度更新，才得知Firn Protocol和NonKYC成功凍結(jié)了約50萬(wàn)美元的被盜資金，但這不過是杯水車薪。

一個(gè)月后，ZachXBT再次在Twitter上詳細(xì)揭露了事件的完整經(jīng)過。這次搶劫是一次針對(duì)單個(gè)人的「高度復(fù)雜社交工程攻擊」，即精心策劃的釣魚騙局。受害者是已破產(chǎn)的加密交易公司Genesis的債權(quán)人。攻擊當(dāng)天，他接到一個(gè)偽裝成Google支持的欺詐電話，騙子借此入侵了他的個(gè)人賬戶。隨后，他又接到冒充Gemini支持的電話，聲稱其賬戶被黑，要求重置雙重身份驗(yàn)證（2FA）并轉(zhuǎn)移資金。在多次勸說(shuō)下，受害者使用AnyDesk共享了屏幕，使騙子得以訪問并竊取了他Bitcoin Core的私鑰。

攻擊者成功竊取了2.43億美元，并迅速分散到多個(gè)錢包，再轉(zhuǎn)移到超過15個(gè)交易平臺(tái)。根據(jù)ZachXBT的研究，被盜資產(chǎn)在比特幣、萊特幣、以太坊和門羅幣之間快速轉(zhuǎn)換，以掩蓋蹤跡。

幸運(yùn)的是，攻擊者在逃跑過程中暴露了過多細(xì)節(jié)，讓ZachXBT得以追蹤到三名主要犯罪嫌疑人及其同伙。他們犯下的錯(cuò)誤包括在屏幕共享時(shí)透露了其中兩人的名字，以及洗錢技術(shù)上的疏忽。盡管大部分資金被轉(zhuǎn)換為門羅幣，但兩人因重復(fù)使用存款地址，意外混合了被盜資金和干凈資金。一名攻擊者還暴露了一個(gè)用于購(gòu)買名牌服裝的地址，該地址與數(shù)百萬(wàn)美元的被盜資金有關(guān)。

最終，ZachXBT與BN安全團(tuán)隊(duì)、Zero Shadow和CryptoForensic Investigators合作，進(jìn)一步凍結(jié)了900萬(wàn)美元。在ZachXBT發(fā)布調(diào)查結(jié)果的前一天，Box（Jeandiel Serrano，21歲）和Greavys（Malone Lam，20歲）被FBI逮捕，并于9月19日被起訴。

### 2. 2024年11月1.29億美元地址投毒攻擊

2024年11月20日，一名受害者試圖從地址TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE向TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8轉(zhuǎn)移約1.297億美元。他們先發(fā)送了100 USDT作為測(cè)試轉(zhuǎn)賬到地址TMStaj…6q1bu8。交易成功后，受害者幾乎立即決定轉(zhuǎn)移全部1.297億美元。

他們不知道的是，在測(cè)試交易后，騙子通過一個(gè)偽裝成測(cè)試地址的地址向其錢包「撒塵」（發(fā)送了1 USDT）。當(dāng)受害者復(fù)制粘貼目標(biāo)地址時(shí)，他們無(wú)意中選擇了這個(gè)偽裝地址。這個(gè)偽裝地址偽造得很粗糙，只有最后6位數(shù)字匹配，前半部分完全不同，以THcTxQ開頭，而非TMStaj。

幸運(yùn)的是，地址投毒者在1小時(shí)內(nèi)歸還了1.167億美元，4小時(shí)后又歸還了剩余的1297萬(wàn)美元。兩次轉(zhuǎn)賬和第二次轉(zhuǎn)賬的金額（1297萬(wàn)美元）似乎表明，攻擊者最初考慮拿走10%的「漏洞賞金」，但后來(lái)改變了主意。他們歸還全部資金的最可能原因是恐懼——害怕被擁有資源的受害者、區(qū)塊鏈取證社區(qū)和執(zhí)法機(jī)構(gòu)追蹤。

### 3. Crypto4winners：1億美元龐氏騙局

2024年3月9日，投資公司Crypto4winners（承諾每月3-20%的回報(bào)）宣布遭遇了一次「漏洞攻擊」，聲稱在問題解決前無(wú)法處理資金提取。然而，早在兩個(gè)月前，加密報(bào)紙DL News就揭露，Crypto4winners的共同所有人之一Luc Schiltz，一位盧森堡人，曾在2017年因詐騙超過150萬(wàn)美元被判六年監(jiān)禁，僅服刑兩年。出獄后不久，他共同創(chuàng)立了Crypto4winners項(xiàng)目。

當(dāng)「黑客攻擊」被宣布時(shí)，懷疑立即蔓延。公告發(fā)布后，Crypto4winners完全沉默。3月12日或更早，其客戶聯(lián)系了律師和警方。隨后幾天，Crypto4winners被揭露具有龐氏騙局的所有特征，造成數(shù)千名受害者，至少損失1億美元。

DL News指出，Luc Schiltz是Crypto4winners的共同創(chuàng)始人，但他一直隱瞞自己的參與。公開的CEO和創(chuàng)始人是另一位盧森堡人Adrien Castellani，但實(shí)際上，Castellani只與Luc Schiltz共同創(chuàng)立了該公司。盡管多年來(lái)關(guān)于Luc Schiltz參與Crypto4winners的問題不斷，他從未承認(rèn)其為共同創(chuàng)始人或合伙人，僅稱自己為顧問。2023年，他承諾到年底與Crypto4winners完全切割關(guān)系，但顯然并未兌現(xiàn)。

Crypto4winners承諾的瘋狂回報(bào)，如自2019年以來(lái)客戶比特幣存款實(shí)現(xiàn)377%的回報(bào)，以及每月平均7%至20%的回報(bào)，無(wú)論加密市場(chǎng)漲跌，這些都是典型的加密龐氏騙局特征。他們還聲稱與Chainalysis和Ledger合作，這兩家公司于2022年公開否認(rèn)了這些說(shuō)法。

Crypto4winners在瑞典注冊(cè)成立。2023年，瑞典公司登記處要求其提交2021和2022年的年度報(bào)告時(shí)，他們聲稱作為信托管理公司無(wú)需提交，這是虛假的。即使面臨清算或被宣布無(wú)效的風(fēng)險(xiǎn)，截止日期到來(lái)時(shí)他們?nèi)晕刺峤粓?bào)告。調(diào)查發(fā)現(xiàn)，Crypto4winners表面上是一家盧森堡-瑞典實(shí)體，實(shí)際上是通過迪拜、立陶宛、愛爾蘭、瑞典和盧森堡構(gòu)成的復(fù)雜結(jié)構(gòu)。

更糟糕的是，Crypto4winners實(shí)際上是一家空殼公司；投資者的資金全部被轉(zhuǎn)移到一家名為Big Wave Developments Limited的愛爾蘭公司。根據(jù)盧森堡報(bào)紙Virgule，在估計(jì)的1億美元客戶資金中，Big Wave Developments Limited賬戶中僅剩不到20萬(wàn)美元。

整個(gè)案件最令人瞠目結(jié)舌的是其解體的原因：一場(chǎng)非常奇怪的車禍，據(jù)稱導(dǎo)致Luc Schiltz失憶。3月5日黎明前，Luc Schiltz撞上路邊護(hù)欄，車沖上斜坡。盧森堡警方稱，他在這場(chǎng)事故中未受任何傷，但隨后走上了高速公路，被一輛公交車撞倒。他未受致命傷，被送往骨科住院治療。然而，他聲稱事故導(dǎo)致他失憶。問題在于，Luc Schiltz完全控制客戶資金；這意味著他無(wú)法再訪問加密貨幣錢包和交易平臺(tái)賬戶中的資金。

值得注意的是，根據(jù)Virgule的調(diào)查和事故后幾天探訪Luc Schiltz的人所述，他的失憶令人懷疑。一位化名為Mario的Adrien Castellani的朋友向Virgule回憶：「他最初假裝失憶，然后告訴我們他會(huì)從父母那里拿回USB密鑰，一切將恢復(fù)正常……」就在那天，Mario發(fā)現(xiàn)了Crypto4winners和Big Wave Developments Limited的空殼性質(zhì)。后來(lái)在3月12日與Shiltz的通話中，Mario詢問Big Wave Developments Limited賬戶中僅剩的20萬(wàn)美元，Shiltz安慰他說(shuō)這是正常的，因?yàn)檫@只是熱錢包中的資金。

盡管聲稱失憶，Luc Shiltz似乎完全清楚自己的身份和公司運(yùn)作方式。那么，他究竟忘了什么以至于無(wú)法訪問資金？顯然不是種子短語(yǔ)；在加密歷史上，一個(gè)人僅靠記憶管理1億美元幾乎聞所未聞。他自己曾說(shuō)，一切都在他父母那里，并保證很快會(huì)恢復(fù)正常。那么，問題出在哪里？

希望這一事件及其引發(fā)的所有疑問能在法庭上揭曉答案。3月15日，盧森堡公共檢察官辦公室宣布對(duì)Crypto4winners展開欺詐和洗錢指控的調(diào)查，兩名個(gè)人已被拘留并被起訴。其中一人被認(rèn)為是Luc Shiltz。

### 4. 2024年5月7200萬(wàn)美元地址投毒攻擊

2024年5月3日，一人成為地址投毒攻擊的受害者，這次攻擊成為當(dāng)時(shí)歷史上最大的地址投毒搶劫案。受害者向惡意地址轉(zhuǎn)移了1155個(gè)包裝比特幣，損失7270萬(wàn)美元。

事情的經(jīng)過可以歸結(jié)為極端的壞運(yùn)氣。受害者首先成功向合法地址（以0xd9A1b開頭）完成了一筆149美元的測(cè)試轉(zhuǎn)賬。之后，他們錯(cuò)誤地復(fù)制粘貼了一個(gè)偽造的地址——一個(gè)模仿0xd9A1b的投毒地址。

受害者試圖通過談判以10%的「漏洞賞金」換回資金，但未能成功。攻擊者被貪婪蒙蔽，認(rèn)為自己能全身而退——他們大錯(cuò)特錯(cuò)。整個(gè)區(qū)塊鏈安全社區(qū)都投入了調(diào)查，很快傳出攻擊者歸還資金的消息，去掉留作「漏洞賞金」的720萬(wàn)美元。5月10日，攻擊者歸還了幾乎所有被盜資金，由于Token升值，他們僅帶走了300萬(wàn)美元。

兩周后發(fā)現(xiàn)，資金迅速歸還并非攻擊者良心發(fā)現(xiàn)，而是因?yàn)楸M管他們盡力掩蓋蹤跡，他們的「設(shè)備指紋」暴露了部分身份，據(jù)Match Systems首席執(zhí)行官Andrey Kutin報(bào)告。

### 5. Epoch Times首席財(cái)務(wù)官6700萬(wàn)美元加密騙局與洗錢搶劫

2024年6月，Epoch Times的首財(cái)務(wù)官Bill Guan因涉及大規(guī)模加密騙局被捕。美國(guó)司法部（DOJ）指控Guan共謀洗錢至少6700萬(wàn)美元的欺詐所得資金，包括通過失業(yè)保險(xiǎn)欺詐獲得的收益。據(jù)稱，該計(jì)劃涉及使用加密貨幣以折扣價(jià)購(gòu)買非法資金，然后通過包括Epoch Times賬戶在內(nèi)的多個(gè)賬戶進(jìn)行轉(zhuǎn)移，以隱藏資金來(lái)源。

當(dāng)銀行報(bào)告其收入在一年內(nèi)從1500萬(wàn)美元激增410%至超過6200萬(wàn)美元時(shí)，這一加密騙局暴露。司法部的起訴書強(qiáng)調(diào)，這些指控與Epoch Times的新聞活動(dòng)無(wú)關(guān)。Guan面臨包括共謀洗錢和銀行欺詐在內(nèi)的嚴(yán)重指控，可能面臨最高80年監(jiān)禁。

### 6. 小結(jié)

2024年，Web3領(lǐng)域?qū)τ诹闶弁顿Y者而言是充滿危機(jī)的一年。詐騙與黑客活動(dòng)猖獗，導(dǎo)致投資者損失高達(dá)58.4億美元，其中「殺豬盤」、釣魚詐騙和退出騙局是主要的犯罪形式。從比特幣的牛市到迷因幣的超級(jí)周期，市場(chǎng)的繁榮吸引了大量新手和經(jīng)驗(yàn)豐富的投資者，卻也讓他們成為詐騙者的理想目標(biāo)。盡管如此，仍有一些積極的信號(hào)，如部分被盜資金被追回，以及相關(guān)執(zhí)法機(jī)構(gòu)和區(qū)塊鏈安全社區(qū)對(duì)犯罪行為的嚴(yán)厲打擊和追蹤。

然而，這些事件也提醒我們，加密貨幣市場(chǎng)的風(fēng)險(xiǎn)無(wú)處不在，投資者在追求高收益的同時(shí)，必須提高警惕，加強(qiáng)安全意識(shí)，謹(jǐn)慎對(duì)待每一個(gè)投資決策，以避免成為下一個(gè)受害者。