Pi Network緊急關閉支付功能：超過440萬枚Pi Coin遭“合法”釣魚騙局洗劫

一場精心設計的釣魚騙局正在席捲 Pi Network 社區，並已導致超過 4,400,000 枚 Pi 币被盜。騙局並非利用技術漏洞，而是惡意濫用網路內建的“支付請求”功能，結合區塊鏈數據的公開透明性，對用戶進行精準的社會工程學攻擊。

在社區損失不斷擴大的壓力下，Pi Core Team 已於近日緊急暫停了“發送支付請求”功能。此次事件以驚人的規模揭示了一個普遍存在的行業困境：在區塊鏈“程式即法律”和交易不可逆的特性下，一個設計上正常運作的協議功能，如何成為詐騙者手中高效的作案工具，以及新手用戶在踏入鏈上世界時所面臨的真實風險。

一場“合法”的洗劫：支付請求功能如何被扭曲為詐騙工具

對於 Pi Network 的廣大“先鋒”用戶而言，2025 年底本應是見證專案進展的關鍵時期，但一場悄無聲息的數位資產洗劫卻令社區陷入恐慌。根據社區用戶在 X 平台上的廣泛警報，一種新型騙局正在大規模盜取用戶錢包中的 Pi Coin。令人警覺的是，該騙局並未使用複雜的黑客技術入侵協議，而是巧妙地“合法”利用了 Pi Network 錢包的一項標準功能——支付請求。

其作案手法直接且高效：詐騙者首先利用 Pi 區塊鏈瀏覽器等公開工具，掃描並篩選出那些持有大量 Pi 币餘額的錢包地址。在鎖定目標後，他們便透過錢包的支付請求功能，直接向該地址發送一筆轉帳請求。關鍵在於，當毫無戒心的用戶在錢包界面看到這條請求時，一旦點擊“批准”，錢包便會自動執行簽名和轉帳操作，資產將瞬間且不可逆地轉入詐騙者的地址。

社區意見領袖“Pi OpenMainnet 2025”对此澄清，這並非系統漏洞。“坦率地說，這根本不是漏洞。錢包的設計就是如此工作的。你丟失 Pi 币的唯一方式，就是你親自批准了那筆交易。” 這一定性將問題核心從技術缺陷轉移到了安全意識和社會工程學攻擊上。詐騙者往往偽裝成用戶的熟人、社區管理員甚至官方團隊，使得支付請求看起來合情合理，誘使用戶在未加核實的情況下輕易點擊批准。這種攻擊方式，如同一把利用協議規則本身鍛造的利刃，精準地刺向了那些對鏈上交易風險認知不足的用戶。

數字背後的龐大產業鏈：單月盜取超80萬 Pi 的“商業模式”

如果說零星的騙案尚屬個別事件，那麼本次事件中曝光的數據則揭示了一個規模化、持續運作的黑色產業鏈。根據“Pi Network Update”等社區追蹤者共享的鏈上數據，一個特定的錢包地址成為了這場騙局的核心資金歸集池。

該地址 GCD3SZ3TFJAESWFZFROZZHNRM5KWFO25TVNR6EMLWNYL47V5A72HBWXP 在數月間持續接收著巨額贓款。數據顯示，其每月流入的 Pi Coin 數量穩定得驚人：2025 年 7 月約 877,900 枚，8 月 743,000 枚，9 月 757,000 枚，10 月 563,000 枚，11 月 622,700 枚。更令人擔憂的是，在 12 月騙局被廣泛曝光期間，該地址的流入量不降反升，達到 838,000 枚以上。這意味著，僅在過去的六個月中，流入此單一地址的 Pi 币總量就已輕鬆突破 4,400,000 枚。

這一連串冰冷的數據描繪出一幅清晰的圖景：這絕非偶然的個體欺詐，而是一個有組織、高效率的犯罪行動。詐騙者似乎建立了一套從目標篩選、發送釣魚請求到資金歸集的標準化流程。每月穩定且巨量的贓款流入，表明其“業務”覆蓋了龐大且持續“上鉤”的用戶群體。12 月數據的飆升，則可能意味著騙局策略的升級或攻擊範圍的進一步擴大。這種產業化運作的騙局，給一個仍處於發展早期、擁有大量區塊鏈新手的生態帶來了嚴峻的信任與安全挑戰。

規模化騙局鏈關鍵數據一覽

核心涉事錢包地址：

GCD3SZ3TFJAESWFZFROZZHNRM5KWFO25TVNR6EMLWNYL47V5A72HBWXP

月度贓款流入數據（2025年）：

7月：約 877,900 Pi

8月：約 743,000 Pi

9月：約 757,000 Pi

10月：約 563,000 Pi

11月：約 622,700 Pi

12月：約 838,000 Pi （持續上升）

累計損失：超過 4,400,000 Pi

騙局本質：濫用合規功能的社會工程學攻擊，產業化運作特徵明顯。

緊急刹車與根本矛盾：Pi 團隊的因應與 Web3 的永恆難題

面對社區日益高漲的恐慌和持續擴大的損失，Pi Network 官方團隊採取了最直接但也最無奈的措施——緊急按下暫停鍵。據“Pi Network Alerts”等社區頻道通知，團隊已臨時全面禁用了錢包的“發送支付請求”功能。這一決定無疑是一場“外科手術式”的干預，旨在從源頭上切斷騙局者的攻擊向量，為評估和部署更完善的安全措施爭取時間。

然而，這一權宜之計也恰恰凸顯了去中心化生態系中的一個根本性矛盾：如何在確保透明、無需許可和用戶自主權（Web3 的核心精神）的同時，有效保護經驗不足的用戶免受傷害？ Pi Network 的支付請求功能本身是中性的，它簡化了用戶間發起交易的流程，是良好用戶體驗的一部分。但區塊鏈的完全透明性（任何人都可查看地址餘額）與功能的便利性相結合，卻在惡意利用下產生了災難性的後果。

Pi 團隊將此次暫停描述為一項臨時性的止損措施，而非永久性解決方案。可以預見，未來的解決方案可能包括：引入請求白名單機制、為支付請求添加強制的二次確認和風險警示標籤、或引入基於信譽系統的請求過濾。但每一種方案都可能在一定程度上犧牲便捷性或引入中心化審查，需要在安全與體驗、去中心化與保護之間做出艱難權衡。社區目前的指導非常明確：在功能恢復之前，絕不批准任何來源的支付請求，無論其似乎來自朋友、家人還是官方帳戶。

從 Pi 事件看行業通病：社會工程學是 Web3 安全的阿喀琉斯之踵

Pi Network 此次遭遇的危機，絕非個例。它以一種極端的方式，再次將區塊鏈行業最脆弱的一環暴露在聚光燈下：無論協議層如何堅固，最終端的用戶都可能成為整個安全鏈條中最薄弱的環節。縱觀加密資產歷史，從早期的“假交易所客服”詐騙到如今層出不窮的“虛假空投”和“授權釣魚”，造成最大規模資產損失的往往不是智能合約漏洞，而是針對人性的社會工程學攻擊。

這一事件給所有區塊鏈專案，特別是用戶基數龐大、新手比例高的專案，敲響了警鐘。它提出了幾個必須回答的問題：

1. 用戶教育的底線在哪裡？專案方是僅僅滿足於告知“私鑰的重要性”，還是需要將“如何識別及應對各類社會工程學攻擊”作為必修課？
2. 產品設計能否更“防呆”？在關鍵操作（如批准交易、授權資產）上，能否通過更醒目的風險提示、操作延遲或複雜化（儘管可能影響體驗）來建立安全緩衝區？
3. 社區治理如何發揮作用？能否建立一個去中心化的“風險地址標記”或“詐騙警報”網絡，讓社區力量成為安全防護的一部分？

Pi 币在事件曝光後，市場價格似乎未受劇烈衝擊，在年底交易中微漲近 1%，徘徊在 0.20381 美元附近。這或許說明市場將此更多視為一個局部性的營運安全事件，而非對專案根本價值的否定。然而，對於數百萬 Pi 社區用戶而言，此次事件無疑是一場深刻的、代價高昂的安全啟蒙。它殘酷地提醒每一位參與者：在“Not your keys, not your crypto”（非你之鑰，非你之幣）的世界裡，真正的控制權也意味著完全的責任。保護資產安全的最終防線，永遠是你自己審慎的判斷力。而對於像 Pi Network 這樣的專案，在推動主網落地和實現宏大願景的道路上，如何構建一個既能抵禦外部攻擊、又能引導內部海量新手用戶安全航行的系統，將是一場比技術開發更艱巨的考驗。