Penipuan sosial menargetkan pengguna platform tertentu: "客服" di hutan gelap
Belakangan ini, serangan rekayasa sosial di bidang aset kripto telah menjadi ancaman besar bagi keamanan dana pengguna. Sejak 2025, insiden penipuan rekayasa sosial yang menargetkan pengguna dari platform perdagangan terkenal sering terjadi, menarik perhatian luas dari komunitas. Insiden ini bukan kasus terisolasi, melainkan jenis penipuan yang memiliki karakteristik berkelanjutan dan terorganisir.
Pada 15 Mei, platform perdagangan tersebut mengeluarkan pengumuman yang mengonfirmasi berbagai spekulasi sebelumnya tentang adanya "pengkhianat" di dalam platform. Diketahui bahwa Departemen Kehakiman AS telah memulai penyelidikan terhadap insiden kebocoran data ini.
Artikel ini akan mengungkapkan metode utama pelanggaran penipuan dengan menyusun informasi yang diberikan oleh beberapa peneliti keamanan dan korban, serta membahas bagaimana cara efektif untuk menghadapi jenis eyewash ini dari perspektif platform dan pengguna.
Analisis Sejarah
Detektif on-chain Zach dalam pembaruan platform sosial pada 7 Mei menyatakan bahwa hanya dalam seminggu terakhir, lebih dari 45 juta dolar AS telah dicuri dari pengguna platform tersebut akibat penipuan rekayasa sosial.
Selama setahun terakhir, Zach telah beberapa kali mengungkapkan insiden pencurian pengguna di platform tersebut, dengan kerugian individu yang mencapai puluhan juta dolar. Pada Februari 2025, ia menerbitkan penyelidikan mendetail yang menyatakan bahwa hanya dalam periode Desember 2024 hingga Januari 2025, total dana yang dicuri akibat penipuan serupa telah melebihi 65 juta dolar, dan mengungkapkan bahwa platform tersebut sedang menghadapi krisis "penipuan sosial" yang serius, di mana serangan semacam itu terus merugikan keamanan aset pengguna dengan skala tahunan sebesar 300 juta dolar. Ia juga menunjukkan:
Kelompok yang memimpin jenis penipuan ini terutama dibagi menjadi dua kategori: satu adalah penyerang tingkat rendah dari komunitas Com, dan yang lainnya adalah organisasi kejahatan siber yang berada di India;
Target serangan kelompok penipuan terutama pengguna di Amerika Serikat, metode pelaksanaan terstandarisasi, dan proses percakapan yang matang;
Jumlah kerugian sebenarnya mungkin jauh lebih tinggi daripada statistik yang terlihat di blockchain, karena tidak mencakup informasi yang tidak dipublikasikan seperti tiket layanan pelanggan yang tidak dapat diakses dan catatan laporan polisi.
eyewash
Dalam kejadian ini, sistem teknologi platform perdagangan tersebut tidak berhasil diretas, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna. Informasi ini mencakup: nama, alamat, kontak, data akun, foto KTP, dan lainnya. Tujuan akhir penipu adalah menggunakan teknik rekayasa sosial untuk mengarahkan pengguna melakukan transfer.
Jenis serangan ini mengubah metode phishing tradisional yang "menyebar jala" menjadi "serangan yang tepat", yang dapat disebut sebagai penipuan sosial yang "disesuaikan secara khusus". Jalur kejahatan yang khas adalah sebagai berikut:
1. Menghubungi pengguna dengan identitas "layanan pelanggan resmi"
Penipu menggunakan sistem telepon palsu untuk menyamar sebagai layanan pelanggan platform, menelepon pengguna dan mengklaim bahwa "akun mereka mengalami login ilegal", atau "terdeteksi adanya anomali penarikan", menciptakan suasana darurat. Mereka kemudian akan mengirimkan email atau SMS phishing yang tampak asli, yang berisi nomor tiket palsu atau tautan "proses pemulihan", dan mengarahkan pengguna untuk melakukan tindakan. Tautan-tautan ini mungkin mengarah ke antarmuka platform yang dikloning, bahkan dapat mengirim email yang tampak berasal dari nama domain resmi, beberapa email menggunakan teknik pengalihan untuk melewati perlindungan keamanan.
2. Mengarahkan pengguna untuk mengunduh dompet yang dikelola sendiri
Penipu akan mengarahkan pengguna untuk mentransfer dana ke "dompet aman" dengan alasan "melindungi aset", dan juga akan membantu pengguna menginstal dompet self-custody, serta membimbing mereka untuk memindahkan aset yang sebelumnya disimpan di platform perdagangan ke dompet yang baru dibuat.
3. Mengarahkan pengguna untuk menggunakan frasa pemulihan yang disediakan oleh penipu
Berbeda dengan "eyewash" tradisional yang "mengambil mnemonic", penipu secara langsung memberikan sekelompok mnemonic yang mereka buat sendiri, yang menggoda pengguna untuk menggunakannya sebagai "dompet baru resmi".
4. Penipu melakukan pencurian dana
Korban dalam keadaan tegang, cemas, dan mempercayai "customer service", sangat mudah terjebak - bagi mereka, dompet baru yang "disediakan secara resmi" tentu lebih aman dibandingkan dompet lama yang "diduga disusupi". Hasilnya, begitu dana dipindahkan ke dompet baru ini, penipu dapat segera memindahkannya. Not your keys, not your coins. - Dalam serangan rekayasa sosial, konsep ini sekali lagi dibuktikan dengan sangat jelas.
Selain itu, beberapa email phishing mengklaim "karena keputusan gugatan bersama, platform akan sepenuhnya bermigrasi ke dompet yang dikelola sendiri", dan meminta pengguna untuk menyelesaikan migrasi aset sebelum 1 April. Pengguna, di bawah tekanan waktu yang mendesak dan sugesti psikologis dari "instruksi resmi", lebih mudah untuk berkooperasi dalam tindakan tersebut.
Menurut peneliti keamanan, serangan ini sering direncanakan dan dilaksanakan secara terorganisir:
Rantai alat penipuan diperbaiki: penipu menggunakan sistem PBX untuk memalsukan nomor panggilan, mensimulasikan panggilan dari layanan pelanggan resmi. Saat mengirim email phishing, mereka akan menggunakan bot di platform sosial untuk meniru alamat email resmi, dilengkapi dengan "panduan pemulihan akun" yang mengarahkan untuk mentransfer.
Target yang Tepat: Penipu bergantung pada data pengguna yang dicuri yang dibeli dari saluran platform sosial dan dark web, menargetkan pengguna di AS sebagai sasaran utama, bahkan mereka menggunakan kecerdasan buatan untuk memproses data yang dicuri, membagi dan menyusun ulang nomor telepon, menghasilkan file TXT dalam jumlah besar, lalu menggunakan perangkat lunak peretasan untuk mengirimkan penipuan melalui SMS.
Proses penipuan yang terintegrasi: mulai dari telepon, pesan teks hingga email, jalur penipuan biasanya terhubung tanpa celah, istilah phishing yang umum termasuk "akun menerima permintaan penarikan" , "kata sandi telah direset", "akun mengalami login yang tidak biasa" dan seterusnya, terus-menerus mengarahkan korban untuk melakukan "verifikasi keamanan" hingga penyelesaian transfer dompet.
Analisis di Rantai
Setelah analisis sistem anti pencucian uang dan pelacakan di blockchain, para penipu ini memiliki kemampuan operasi di blockchain yang cukup kuat, berikut adalah beberapa informasi kunci:
Target serangan penipu mencakup berbagai aset yang dimiliki pengguna, dengan waktu aktif alamat-alamat ini terkonsentrasi antara Desember 2024 hingga Mei 2025, dengan aset yang menjadi target utama adalah BTC dan ETH. BTC adalah target penipuan utama saat ini, dengan beberapa alamat yang mendapatkan keuntungan sekaligus hingga ratusan BTC, dengan nilai per transaksi mencapai jutaan dolar.
Setelah mendapatkan dana, penipu dengan cepat menggunakan serangkaian proses pencucian untuk menukar dan memindahkan aset, dengan pola utama sebagai berikut:
Aset jenis ETH sering kali ditukar dengan cepat menjadi DAI atau USDT melalui DEX tertentu, kemudian dialihkan ke beberapa alamat baru, sebagian aset masuk ke platform pusat;
BTC terutama dipindahkan melalui jembatan lintas rantai ke Ethereum, kemudian ditukar menjadi DAI atau USDT, menghindari risiko pelacakan.
Beberapa alamat penipuan tetap dalam status "diam" setelah menerima DAI atau USDT, dan belum dipindahkan.
Untuk menghindari interaksi antara alamat Anda dan alamat yang mencurigakan, sehingga menghadapi risiko aset dibekukan, disarankan agar pengguna menggunakan sistem anti-pencucian uang dan pelacakan berbasis blockchain untuk melakukan deteksi risiko pada alamat target sebelum melakukan transaksi, guna secara efektif menghindari ancaman potensial.
Tindakan yang Ditempuh
platform
Saat ini, metode keamanan utama lebih banyak berupa perlindungan di "tingkat teknis", sementara penipuan sosial sering kali menghindari mekanisme ini, langsung menyerang celah psikologis dan perilaku pengguna. Oleh karena itu, disarankan agar platform mengintegrasikan pendidikan pengguna, pelatihan keamanan, dan desain yang dapat digunakan, untuk membangun satu set "garis pertahanan yang berorientasi pada manusia".
Pengiriman konten edukasi anti-penipuan secara berkala: Meningkatkan kemampuan pengguna dalam mencegah phishing melalui pop-up aplikasi, antarmuka konfirmasi transaksi, email, dan saluran lainnya;
Mengoptimalkan model manajemen risiko, memperkenalkan "pengidentifikasian perilaku abnormal interaktif": Sebagian besar penipuan sosial akan memandu pengguna untuk menyelesaikan serangkaian tindakan dalam waktu singkat (seperti transfer, perubahan daftar putih, pengikatan perangkat, dll.). Platform harus berdasarkan model rantai perilaku untuk mengidentifikasi kombinasi interaksi mencurigakan (seperti "interaksi sering + alamat baru + penarikan besar"), memicu periode pendinginan atau mekanisme ulasan manual.
Mengatur saluran layanan pelanggan dan mekanisme verifikasi: Penipu sering berpura-pura menjadi layanan pelanggan untuk membingungkan pengguna, platform harus menyatukan telepon, pesan teks, dan template email, serta menyediakan "masuk verifikasi layanan pelanggan", untuk menetapkan saluran komunikasi resmi yang unik dan menghindari kebingungan.
pengguna
Terapkan kebijakan isolasi identitas: hindari penggunaan email dan nomor telepon yang sama di beberapa platform, untuk mengurangi risiko keterkaitan. Anda dapat menggunakan alat pemeriksa kebocoran untuk secara berkala memeriksa apakah email telah bocor.
Aktifkan daftar putih transfer dan mekanisme pendinginan penarikan: atur alamat tepercaya untuk mengurangi risiko kehilangan dana dalam situasi darurat.
Terus memantau informasi keamanan: Melalui perusahaan keamanan, media, platform perdagangan, dan saluran lainnya, pahami dinamika terbaru dari metode serangan dan tetap waspada. Saat ini, beberapa lembaga keamanan sedang meluncurkan platform simulasi phishing Web3, yang akan mensimulasikan berbagai metode phishing klasik, termasuk social engineering poisoning, phishing tanda tangan, interaksi kontrak berbahaya, dan akan terus memperbarui konten skenario berdasarkan kasus nyata yang dikumpulkan dalam diskusi sejarah. Membantu pengguna meningkatkan kemampuan identifikasi dan respons dalam lingkungan tanpa risiko.
Perhatikan risiko offline dan perlindungan privasi: Kebocoran informasi pribadi juga dapat memicu masalah keamanan pribadi.
Ini bukanlah khayalan, sejak awal tahun ini, para pelaku/ pengguna kripto telah mengalami beberapa insiden yang mengancam keselamatan pribadi. Mengingat data yang bocor kali ini mencakup nama, alamat, kontak, data akun, foto KTP, dan lain-lain, pengguna terkait juga harus meningkatkan kewaspadaan secara offline dan memperhatikan keamanan.
Singkatnya, tetaplah skeptis dan terus verifikasi. Untuk semua operasi yang mendesak, pastikan untuk meminta pihak lain membuktikan identitas mereka, dan secara independen memverifikasi melalui saluran resmi, hindari membuat keputusan yang tidak dapat diubah di bawah tekanan.
Ringkasan
Peristiwa ini sekali lagi mengungkapkan bahwa dalam menghadapi metode serangan rekayasa sosial yang semakin matang, industri masih memiliki kekurangan yang jelas dalam perlindungan data pelanggan dan aset. Yang perlu diwaspadai adalah, meskipun posisi terkait di platform tidak memiliki wewenang dana, kurangnya kesadaran dan kemampuan keamanan yang memadai juga dapat menyebabkan konsekuensi serius akibat kebocoran yang tidak disengaja atau pengkhianatan. Seiring dengan semakin besarnya ukuran platform, kompleksitas pengendalian keamanan personel juga meningkat, yang telah menjadi salah satu risiko terberat yang harus dihadapi industri. Oleh karena itu, platform harus memperkuat mekanisme keamanan on-chain sekaligus secara sistematis membangun "sistem pertahanan rekayasa sosial" yang mencakup personel internal dan layanan outsourcing, serta memasukkan risiko manusia ke dalam strategi keamanan secara keseluruhan.
Selain itu, begitu serangan ditemukan bukanlah kejadian terisolasi, melainkan ancaman berkelanjutan yang terorganisir dan berskala, platform harus segera merespons, secara proaktif memeriksa kerentanan yang mungkin ada, mengingatkan pengguna untuk waspada, dan mengendalikan dampak kerusakan. Hanya dengan menangani secara ganda di tingkat teknis dan organisasi, kepercayaan dan batasan dapat benar-benar dijaga dalam lingkungan keamanan yang semakin kompleks.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
6
Bagikan
Komentar
0/400
BlockchainTalker
· 10jam yang lalu
sebenarnya, ini adalah kasus klasik teori permainan yang salah... orang dalam selalu menjadi titik lemah yang paling lemah sejujurnya
Lihat AsliBalas0
GweiTooHigh
· 10jam yang lalu
Sudah ada pengkhianat lagi ya
Lihat AsliBalas0
TokenomicsTrapper
· 10jam yang lalu
pekerjaan dalam yang klasik... sudah melihat ini datang beberapa bulan yang lalu ketika pola dompet terlihat sangat mencurigakan
Sebuah platform perdagangan mengalami penipuan rekayasa sosial berskala besar dengan kerugian lebih dari 45 juta dolar AS.
Penipuan sosial menargetkan pengguna platform tertentu: "客服" di hutan gelap
Belakangan ini, serangan rekayasa sosial di bidang aset kripto telah menjadi ancaman besar bagi keamanan dana pengguna. Sejak 2025, insiden penipuan rekayasa sosial yang menargetkan pengguna dari platform perdagangan terkenal sering terjadi, menarik perhatian luas dari komunitas. Insiden ini bukan kasus terisolasi, melainkan jenis penipuan yang memiliki karakteristik berkelanjutan dan terorganisir.
Pada 15 Mei, platform perdagangan tersebut mengeluarkan pengumuman yang mengonfirmasi berbagai spekulasi sebelumnya tentang adanya "pengkhianat" di dalam platform. Diketahui bahwa Departemen Kehakiman AS telah memulai penyelidikan terhadap insiden kebocoran data ini.
Artikel ini akan mengungkapkan metode utama pelanggaran penipuan dengan menyusun informasi yang diberikan oleh beberapa peneliti keamanan dan korban, serta membahas bagaimana cara efektif untuk menghadapi jenis eyewash ini dari perspektif platform dan pengguna.
Analisis Sejarah
Detektif on-chain Zach dalam pembaruan platform sosial pada 7 Mei menyatakan bahwa hanya dalam seminggu terakhir, lebih dari 45 juta dolar AS telah dicuri dari pengguna platform tersebut akibat penipuan rekayasa sosial.
Selama setahun terakhir, Zach telah beberapa kali mengungkapkan insiden pencurian pengguna di platform tersebut, dengan kerugian individu yang mencapai puluhan juta dolar. Pada Februari 2025, ia menerbitkan penyelidikan mendetail yang menyatakan bahwa hanya dalam periode Desember 2024 hingga Januari 2025, total dana yang dicuri akibat penipuan serupa telah melebihi 65 juta dolar, dan mengungkapkan bahwa platform tersebut sedang menghadapi krisis "penipuan sosial" yang serius, di mana serangan semacam itu terus merugikan keamanan aset pengguna dengan skala tahunan sebesar 300 juta dolar. Ia juga menunjukkan:
eyewash
Dalam kejadian ini, sistem teknologi platform perdagangan tersebut tidak berhasil diretas, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna. Informasi ini mencakup: nama, alamat, kontak, data akun, foto KTP, dan lainnya. Tujuan akhir penipu adalah menggunakan teknik rekayasa sosial untuk mengarahkan pengguna melakukan transfer.
Jenis serangan ini mengubah metode phishing tradisional yang "menyebar jala" menjadi "serangan yang tepat", yang dapat disebut sebagai penipuan sosial yang "disesuaikan secara khusus". Jalur kejahatan yang khas adalah sebagai berikut:
1. Menghubungi pengguna dengan identitas "layanan pelanggan resmi"
Penipu menggunakan sistem telepon palsu untuk menyamar sebagai layanan pelanggan platform, menelepon pengguna dan mengklaim bahwa "akun mereka mengalami login ilegal", atau "terdeteksi adanya anomali penarikan", menciptakan suasana darurat. Mereka kemudian akan mengirimkan email atau SMS phishing yang tampak asli, yang berisi nomor tiket palsu atau tautan "proses pemulihan", dan mengarahkan pengguna untuk melakukan tindakan. Tautan-tautan ini mungkin mengarah ke antarmuka platform yang dikloning, bahkan dapat mengirim email yang tampak berasal dari nama domain resmi, beberapa email menggunakan teknik pengalihan untuk melewati perlindungan keamanan.
2. Mengarahkan pengguna untuk mengunduh dompet yang dikelola sendiri
Penipu akan mengarahkan pengguna untuk mentransfer dana ke "dompet aman" dengan alasan "melindungi aset", dan juga akan membantu pengguna menginstal dompet self-custody, serta membimbing mereka untuk memindahkan aset yang sebelumnya disimpan di platform perdagangan ke dompet yang baru dibuat.
3. Mengarahkan pengguna untuk menggunakan frasa pemulihan yang disediakan oleh penipu
Berbeda dengan "eyewash" tradisional yang "mengambil mnemonic", penipu secara langsung memberikan sekelompok mnemonic yang mereka buat sendiri, yang menggoda pengguna untuk menggunakannya sebagai "dompet baru resmi".
4. Penipu melakukan pencurian dana
Korban dalam keadaan tegang, cemas, dan mempercayai "customer service", sangat mudah terjebak - bagi mereka, dompet baru yang "disediakan secara resmi" tentu lebih aman dibandingkan dompet lama yang "diduga disusupi". Hasilnya, begitu dana dipindahkan ke dompet baru ini, penipu dapat segera memindahkannya. Not your keys, not your coins. - Dalam serangan rekayasa sosial, konsep ini sekali lagi dibuktikan dengan sangat jelas.
Selain itu, beberapa email phishing mengklaim "karena keputusan gugatan bersama, platform akan sepenuhnya bermigrasi ke dompet yang dikelola sendiri", dan meminta pengguna untuk menyelesaikan migrasi aset sebelum 1 April. Pengguna, di bawah tekanan waktu yang mendesak dan sugesti psikologis dari "instruksi resmi", lebih mudah untuk berkooperasi dalam tindakan tersebut.
Menurut peneliti keamanan, serangan ini sering direncanakan dan dilaksanakan secara terorganisir:
Analisis di Rantai
Setelah analisis sistem anti pencucian uang dan pelacakan di blockchain, para penipu ini memiliki kemampuan operasi di blockchain yang cukup kuat, berikut adalah beberapa informasi kunci:
Target serangan penipu mencakup berbagai aset yang dimiliki pengguna, dengan waktu aktif alamat-alamat ini terkonsentrasi antara Desember 2024 hingga Mei 2025, dengan aset yang menjadi target utama adalah BTC dan ETH. BTC adalah target penipuan utama saat ini, dengan beberapa alamat yang mendapatkan keuntungan sekaligus hingga ratusan BTC, dengan nilai per transaksi mencapai jutaan dolar.
Setelah mendapatkan dana, penipu dengan cepat menggunakan serangkaian proses pencucian untuk menukar dan memindahkan aset, dengan pola utama sebagai berikut:
Aset jenis ETH sering kali ditukar dengan cepat menjadi DAI atau USDT melalui DEX tertentu, kemudian dialihkan ke beberapa alamat baru, sebagian aset masuk ke platform pusat;
BTC terutama dipindahkan melalui jembatan lintas rantai ke Ethereum, kemudian ditukar menjadi DAI atau USDT, menghindari risiko pelacakan.
Beberapa alamat penipuan tetap dalam status "diam" setelah menerima DAI atau USDT, dan belum dipindahkan.
Untuk menghindari interaksi antara alamat Anda dan alamat yang mencurigakan, sehingga menghadapi risiko aset dibekukan, disarankan agar pengguna menggunakan sistem anti-pencucian uang dan pelacakan berbasis blockchain untuk melakukan deteksi risiko pada alamat target sebelum melakukan transaksi, guna secara efektif menghindari ancaman potensial.
Tindakan yang Ditempuh
platform
Saat ini, metode keamanan utama lebih banyak berupa perlindungan di "tingkat teknis", sementara penipuan sosial sering kali menghindari mekanisme ini, langsung menyerang celah psikologis dan perilaku pengguna. Oleh karena itu, disarankan agar platform mengintegrasikan pendidikan pengguna, pelatihan keamanan, dan desain yang dapat digunakan, untuk membangun satu set "garis pertahanan yang berorientasi pada manusia".
pengguna
Terapkan kebijakan isolasi identitas: hindari penggunaan email dan nomor telepon yang sama di beberapa platform, untuk mengurangi risiko keterkaitan. Anda dapat menggunakan alat pemeriksa kebocoran untuk secara berkala memeriksa apakah email telah bocor.
Aktifkan daftar putih transfer dan mekanisme pendinginan penarikan: atur alamat tepercaya untuk mengurangi risiko kehilangan dana dalam situasi darurat.
Terus memantau informasi keamanan: Melalui perusahaan keamanan, media, platform perdagangan, dan saluran lainnya, pahami dinamika terbaru dari metode serangan dan tetap waspada. Saat ini, beberapa lembaga keamanan sedang meluncurkan platform simulasi phishing Web3, yang akan mensimulasikan berbagai metode phishing klasik, termasuk social engineering poisoning, phishing tanda tangan, interaksi kontrak berbahaya, dan akan terus memperbarui konten skenario berdasarkan kasus nyata yang dikumpulkan dalam diskusi sejarah. Membantu pengguna meningkatkan kemampuan identifikasi dan respons dalam lingkungan tanpa risiko.
Perhatikan risiko offline dan perlindungan privasi: Kebocoran informasi pribadi juga dapat memicu masalah keamanan pribadi.
Ini bukanlah khayalan, sejak awal tahun ini, para pelaku/ pengguna kripto telah mengalami beberapa insiden yang mengancam keselamatan pribadi. Mengingat data yang bocor kali ini mencakup nama, alamat, kontak, data akun, foto KTP, dan lain-lain, pengguna terkait juga harus meningkatkan kewaspadaan secara offline dan memperhatikan keamanan.
Singkatnya, tetaplah skeptis dan terus verifikasi. Untuk semua operasi yang mendesak, pastikan untuk meminta pihak lain membuktikan identitas mereka, dan secara independen memverifikasi melalui saluran resmi, hindari membuat keputusan yang tidak dapat diubah di bawah tekanan.
Ringkasan
Peristiwa ini sekali lagi mengungkapkan bahwa dalam menghadapi metode serangan rekayasa sosial yang semakin matang, industri masih memiliki kekurangan yang jelas dalam perlindungan data pelanggan dan aset. Yang perlu diwaspadai adalah, meskipun posisi terkait di platform tidak memiliki wewenang dana, kurangnya kesadaran dan kemampuan keamanan yang memadai juga dapat menyebabkan konsekuensi serius akibat kebocoran yang tidak disengaja atau pengkhianatan. Seiring dengan semakin besarnya ukuran platform, kompleksitas pengendalian keamanan personel juga meningkat, yang telah menjadi salah satu risiko terberat yang harus dihadapi industri. Oleh karena itu, platform harus memperkuat mekanisme keamanan on-chain sekaligus secara sistematis membangun "sistem pertahanan rekayasa sosial" yang mencakup personel internal dan layanan outsourcing, serta memasukkan risiko manusia ke dalam strategi keamanan secara keseluruhan.
Selain itu, begitu serangan ditemukan bukanlah kejadian terisolasi, melainkan ancaman berkelanjutan yang terorganisir dan berskala, platform harus segera merespons, secara proaktif memeriksa kerentanan yang mungkin ada, mengingatkan pengguna untuk waspada, dan mengendalikan dampak kerusakan. Hanya dengan menangani secara ganda di tingkat teknis dan organisasi, kepercayaan dan batasan dapat benar-benar dijaga dalam lingkungan keamanan yang semakin kompleks.