交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
加密安全专家指出,未来一年大多数加密资产被盗事件并非源于协议漏洞,而是人为因素。
加密货币交易所Kraken首席安全官Nick Percoco表示,2025年的数据显示,绝大多数黑客攻击的起点并非恶意代码,而是从对话开始。“攻击者不是破门而入,而是被邀请进来的。”根据Chainalysis统计,2025年1月至12月初,加密行业被盗金额超过34亿美元,其中Bybit二月安全事件就占据近半比例。
在这些攻击中,不法分子通过社会工程学手段获取访问权限,注入恶意JavaScript代码包,从而篡改交易细节并转移资金。
什么是社会工程学?
社会工程学是一种通过心理操纵使人们泄露机密信息或执行危害安全行为的网络攻击手段。Percoco强调,加密安全的主战场将转向心理层面而非网络空间。“安全不再局限于筑高墙,而是训练心智识别操纵。核心目标很简单:不要因为对方听起来像内部人员或制造恐慌情绪,就轻易交出城堡钥匙。”
建议一:优先采用自动化方案
Percoco指出,供应链漏洞已成为今年的关键挑战,看似微小的安全缺口可能引发毁灭性后果,因为“这就像数字叠叠乐,每个组件的完整性都至关重要”。他建议通过自动化防御机制减少人为信任节点,对所有数字交互进行认证验证,实现“从被动防御到主动预防”的转变。
“加密安全的未来将由智能身份验证和AI驱动的威胁检测塑造。我们正进入一个系统能先于用户、甚至先于专业安全分析师识别异常行为的时代。”他补充道,“尤其在加密领域,最薄弱环节始终是人性中的信任,而贪婪和错失恐惧症会放大这种脆弱。攻击者每次利用的正是这个裂缝,但任何技术都无法替代良好习惯。”
建议二:实行基础设施隔离
安全机构SlowMist运营主管Lisa表示,今年开发者生态系统已成为重点攻击目标,结合云凭证泄露问题,为恶意代码注入、数据窃取和软件更新投毒创造了条件。她建议开发者通过锁定依赖版本、验证软件包完整性、隔离构建环境、部署前审查更新等方式降低风险。
Lisa预测2026年主要威胁将来自日益复杂的凭证窃取与社会工程学攻击。“威胁主体已开始利用AI生成深度伪造、定制化钓鱼攻击甚至虚假开发者测试来窃取钱包密钥、云凭证和签名令牌。这类攻击正变得更具自动化特征和欺骗性,且趋势将持续蔓延。”
她建议企业实施严格访问控制、密钥轮换、硬件认证、基础设施分段及异常监测;个人用户则应使用硬件钱包、避免接触未验证文件、通过独立渠道交叉验证身份、谨慎处理陌生链接或下载内容。
建议三:用人性证明对抗AI伪造
区块链安全公司Halborn联合创始人Steven Walbroehl预测,增强型AI社会工程学将成为黑客的重要工具。今年三月至少有三家加密项目创始人成功挫败疑似朝鲜黑客通过深度伪造Zoom会议窃取数据的企图。他警告称,黑客正利用AI打造高度个性化、情境感知的攻击手段,这些手段能绕过传统安全意识培训。
应对措施包括:为关键通信配置加密人性证明、采用生物特征绑定的硬件认证、建立正常交易模式基线的异常检测系统、通过预设密语建立验证协议。
建议四:谨慎保管加密资产
据比特币先驱Jameson Lopp整理的GitHub清单显示,2025年发生至少65起针对持币者的物理攻击(扳手攻击),而2021年牛市高峰期间仅记录36起。前中情局官员Beau在社交平台上指出,虽然此类攻击相对罕见,但仍建议加密用户保持谨慎,避免在网络空间炫耀财富、披露持币量或奢侈生活方式。
他同时建议通过数据清理工具隐藏住址等隐私信息,配备安防摄像头与警报系统,成为“难以攻克的目标”。
建议五:恪守经典安全准则
曾任Robinhood首席信息安全官的安全专家David Schwed建议,首选那些能展现持续安全实践的合规平台,包括对智能合约至基础设施的全栈第三方安全审计。无论技术如何演进,用户都应避免密码重复使用、采用硬件令牌进行多因素认证、将助记词加密后离线保存在物理安全处。
他特别强调大额资产应使用专用硬件钱包存储,并尽量减少交易所存量。Schwed补充道:“安全取决于交互环节。连接硬件钱包至新应用时需保持高度警惕,务必在签署前仔细核对硬件屏幕显示的交易数据,避免对恶意合约进行‘盲签’。”
Lisa则建议仅使用官方软件、避开未验证链接、采用热温冷分层资金存储策略。为应对日益复杂的社会工程学与钓鱼骗局,Kraken的Percoco提出应保持“彻底怀疑主义”,通过验证真实性并将每条信息视为警惕性测试。
“永恒真理是:任何合法机构都不会索要助记词或登录凭证。一旦提出这种要求,你面对的一定是骗子。”Percoco总结道。Walbroehl同时建议采用密码学安全随机数生成器生成密钥、严格隔离开发与生产环境、定期进行安全审计和应急演练。
