有人曾说，“只是虚惊一场”是世界上最美的四个字。只有当你真正直面将失去一切的边缘时，才会深切体会这句话的分量。

2025 年 9 月 2 日，我惊险地差点看着钱包里的 1300 万美元凭空消失。这是一次由朝鲜的臭名昭著黑客组织 Lazarus 策划的钓鱼攻击。

要不是一些一流安全团队的迅速介入，这本可能变成彻底的灾难。最后，它以一次惊险的侥幸收场。下面是我作为受害者的完整回放。

诱因：看似普通的会议邀请

我在 2025 年 4 月的香港万向大会上第一次见到这位自称是 Stack 亚洲 BD 的人。朋友当面把我们介绍给对方，另一个朋友之前也提过 Stack 的团队，暗示有合作可能。我们互换了联系方式，并在 Telegram 上加了好友。

上周五（8 月 29 日），这位 BD 联系我安排在晚上 11 点的 catch-up 会议。我的前一场会议拖了点时间，所以大约 11:10 才加入。他在 TG 群里说没问题。

会议链接是 Zoom。当时我并没有多想，但回头看，Zoom 已成为 Lazarus 攻击的常见载体（详见这篇 Huntability 报告 的分析）。

陷阱：看似无害的“升级”提示

因为我迟到，心里有些愧疚并匆忙。当我加入会议时，看到视频里有他和几位所谓的同事，但没有声音。立刻弹出了一个提示：“你的麦克风无法工作。你需要升级。”

在那一刻的慌张和愧疚中，我失去了冷静：

我想弥补自己造成的延误；

我毫不犹豫地点了“升级”。

事实证明，那正是黑客设下的诱饵。

精心设计的打击：量身定制的攻击

事后回放我意识到，这并非随机——而是高度定制化针对我的。

他们在周一部署了攻击合约，并针对我的资产组合量身定制。我的资产大多在 Venus，且负债（借入）较多，不像常见的配置。从 Venus 的官方报告 这里 可以看出，这笔交易非常复杂，包含大量有针对性的操作。

他们甚至知道我经常使用 Rabby 钱包，所以很可能在我的 Chrome 中置入了伪造的 Rabby 扩展。

事情经过大致如下：

我打开电脑时，Chrome 异常崩溃，询问是否要恢复标签页（回头看很可疑，可能是恶意扩展所致）。我选择了恢复，在恢复后的标签页里打开了 Venus，然后做了例行的取款操作。

如果是正版 Rabby，它的风控会：

1. 标记合约风险并要求人工确认；

2. 展示交易的模拟。

但在伪造版本里，没有任何警告。一切看起来就像我以前做过数百次的任何一次提款。

那种“熟悉感”和流程的顺畅彻底让我放松了警惕。到了我意识到问题时，已经太晚了。

发出交易后，Chrome 再次崩溃，电脑变得卡顿，重开后我的 Google 账户被登出。USDT 没有被直接提走，但检查浏览器时发现了一笔可疑交易。恐慌随之而来。

更让人寒心的是，后来朋友告诉我，这位 BD 的 TG 账号此前就被入侵过。从一开始，我面对的就是冒充者。

黑客正是利用了那种“半熟悉”的关系：既不是完全陌生到会引起怀疑，也不够熟到能迅速察觉行为不符。

真相：伪造身份、深度伪造与 Lazarus

根据手法、gas 来源以及类似案例来看，这很可能是 Lazarus。视频里那些“同事”？很可能是 deepfake（深度伪造）面孔。

我听说 Venus 社区的一位管理员几个月前也中了同类 Zoom 钓鱼，损失了存款且无法追回。

转折点：安全团队介入

事发后我联系了 PeckShield 和 SlowMist。姜博士（@xuxian_jiang）迅速把 Venus 团队拉了进来。

我们彼此并不熟，但他们在看到异常后果断暂停了该协议：

1. 我的账户有 5 种资产，并且借入额度很重；

2. 黑客的复杂交易转移了大部分资产，包括负债项；

3. 与正常用户行为完全不符。

暂停、审计合约、检查前端是否被劫持——这些都很关键。他们的果断阻止了 Lazarus 的进一步行动。

反思：吸取的教训

这件事凸显了朝鲜黑客如何进化为把社会工程、深度伪造与技术木马结合起来。即便是视频通话和经过验证的 Twitter 账号也能被伪造。

我当时使用的是 硬件钱包，理论上它是最安全的，但 DeFi 的复杂交互仍会要求盲签（blind signing）。

黑客伪造了 Rabby 扩展，让一切看起来正常，钱包没有任何警告。

在硬件上签名时，如果前端或输入被污染，很难核实实际的交易逻辑。

残酷的现实是：如果扩展或前端被攻破，硬件钱包也不是万无一失的。

给行业与个人的安全建议

• 避免用 Zoom 处理敏感事务：它是 Lazarus 攻击的高危点。
• 只从官方渠道下载扩展；忽略任何弹窗式的“升级”提示。
• 使用硬件钱包，但不要单靠它——要结合前端核验。
• 不要轻信半熟识的人：视频、声音、会议都可能被深度伪造。
• 保持怀疑：在任何异常请求前先停下思考，即便只是“升级麦克风”。

结语

这是一场与 Lazarus 的惊险擦肩而过。

多亏了像 @VenusProtocol、@peckshield、@binance、@chaos_labs、@hexagate_​、@HypernativeLabs 和 @SlowMist_Team 这样的团队，我们才得以幸存——至少没有遭受巨大损失。感觉像是中了彩票，因为大多数 Lazarus 的受害者从未能追回资金。

但这件事也让我深刻认识到：在加密世界里，最大的风险不是市场波动——而是在你心里那一刻的自我安慰：“应该没事的。”