我刚刚又读了一遍关于格雷厄姆·伊凡·克拉克的故事，老实说，这个故事每次重温都变得更加疯狂。不是因为细节在变化，而是因为你意识到漏洞其实是多么的永恒。

所以事情是这样的——在2020年7月，当我们大多数人在COVID期间被困在家里时，一个来自坦帕的17岁少年基本上像自己拥有这个地方一样闯入了推特的系统。不是用一些复杂的零日漏洞，也不是靠俄罗斯的顶级黑客。只是……社会工程学。他打电话给推特员工，假扮技术支持，发给他们假登录页面，然后——砰——他就获得了对地球上最强大账户的访问权限。

埃隆、奥巴马、贝索斯、苹果——都在实时发布相同的信息。“给我比特币，双倍返还。”互联网集体失控。几分钟内，超过11万美元的比特币流入钱包。这不是什么复杂的阴谋。几乎令人尴尬的简单。

让我震惊的是，格雷厄姆·伊凡·克拉克其实不需要成为顶级黑客。他只比保护系统的人更懂人性。这才是真正的黑客技术。他知道在压力下，疲惫的远程工作人员会点击链接。他知道权威和紧迫感会压倒怀疑。他知道人性是任何安全链中最脆弱的环节。

FBI用了两周时间就抓到了他。30项重罪指控。可能面临210年的监禁。但因为他是未成年人，他在少年监狱里服了三年，20岁时获释。带着钱、经验，以及一堂关于如何操控系统的大师课，走出了监狱。

现在，事情变得黑暗而有趣——快进到今天。X平台上充斥着加密货币的骗局。那些让格雷厄姆变富的相同策略，正自动在平台上运行。假赠品、冒充账户、紧迫感驱动的推销。相同的心理学，不同的操盘手。

这里的教训不是关于格雷厄姆·伊凡·克拉克本身，而是骗子们其实不是真正黑代码——他们黑的是人。而这种漏洞？永远不会被修补。你可以更新你的安全软件，但你无法改变人性。

如果你在加密领域，这值得思考。永远不要相信紧迫感。不要把验证码或密码分享给任何声称是支持的人。不要以为验证过的账户就是真实的——它们实际上是最容易被冒充的。登录前一定要反复核对网址。

真正的安全漏洞不在系统里，而是在屏幕前，试图多任务、疲惫不堪、只差一步就会被搞砸的人身上。保持警惕，注意安全。