资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
加密威胁的演变:从技术漏洞到人性弱点与AI工具的双重挑战
2025年上半年的数据显示,加密安全领域的威胁已不再局限于技术层面,而是日益聚焦于人类行为弱点与AI等新型工具。保持安全优势需要超越智能合约层面的更广泛思考。
安全形势概览
2025年上半年加密安全形势持续恶化,攻击手段日趋精密。哈肯(Hacken)分析师指出,当前诈骗活动同时针对大型机构和普通用户,而与AI相关的黑客攻击正在迅速成为严峻威胁。确保安全需要工具升级、流程优化与用户教育三管齐下。
数据显示,2025年前六个月加密货币平台损失已超31亿美元——超过2024年全年总和。哈肯最新报告表明,访问控制失效、钓鱼攻击/社会工程诈骗以及智能合约漏洞仍是主要损失源头。
访问控制漏洞
根据哈肯研究院提供给crypto.news的专项报告,访问控制失效仍是首要问题,仅上半年就造成约18.3亿美元损失(占总损失59%)。最典型案例是Bybit遭遇朝鲜黑客攻击,攻击者通过入侵Safe{Wallet}签名器界面推动恶意交易,最终窃取14.6亿美元。哈肯分析指出:"恶意提案操纵了Safe的委托调用设置,从而实现对钱包的控制。"截至7月底,Bybit的资产追踪门户显示超80%被盗资产已消失无踪。
其他重大事件包括:UPCX因管理员账户被劫持损失约7000万美元;KiloEx因预言机价格操纵遭受750万美元损失;Roar质押合约被内部人员植入后门导致80万美元被盗。甚至多签钱包也未能幸免——zkSync上某个所谓多签钱包实质是单签钱包,导致攻击者窃取约500万美元。此外还出现政治动机攻击,如伊朗Nobitex损失超9000万美元加密货币。
钓鱼与社会工程
哈肯数据显示,钓鱼攻击与社会工程诈骗造成近6亿美元损失(占比19%)。典型案例包括美国老年受害者被诱骗转账3.3亿美元比特币(BTC),哈肯指出这是"已公开报道的最大规模个人盗窃案之一",强调"此类攻击依赖情感操控与信任建立,已超越纯技术漏洞利用"。
另一个持续存在的问题是诈骗者通过冒充客服针对Coinbase高净值用户实施攻击。据报告,在数据泄露事件暴露联系信息后,此类骗局已窃取超1亿美元。"冒充Coinbase客服的致电者通过准确报出账户余额获取信任,诱骗受害者泄露密钥或验证码,随后通过混币服务、场外交易平台和DeFi协议清洗赃款。"
智能合约漏洞
智能合约漏洞导致约2.64亿美元损失(占总损失8.8%)。其中Cetus协议因溢出漏洞在15分钟内被窃取2.23亿美元,成为2023年初以来损失最惨重的DeFi事件。哈肯指出若有实时TVL监控与自动暂停机制,"90%资金本可避免损失"。
AI威胁崛起
AI相关攻击事件同比激增1025%,主要源于不安全的API接口。报告特别指出Langflow和BentoML的远程代码执行漏洞,以及针对商用大语言模型的提示词注入攻击,凸显该攻击向量进化速度。正如哈肯强调:"AI潜力与风险并存",亟需"在传统区块链安全措施外建立AI专项防护协议"。
报告同时揭示更广泛问题:多数Web3项目仍面临运营成熟度挑战。哈肯认为"Web3领域钱包与密钥管理的碎片化现状"源于三大因素:缺乏针对区块链的正式访问控制框架、链下流程安全性薄弱、以及对抗社会工程的用户体验保护不足。
链下安全同样关键
为弥补安全缺口,哈肯分析师建议将管理链上密钥的加密货币安全标准(CCSS)与强化链下流程的ISO/IEC27001标准结合使用。其合规负责人表示,双框架配合团队培训既能降低风险,又能建立长期用户信任。
未来安全趋势展望
2025年上半年数据印证,加密安全仍是快速移动的靶标。访问控制问题持续造成主要损失,钓鱼攻击加速蔓延,智能合约漏洞代价高昂,AI相关风险急剧增长。哈肯研究表明,仅靠代码审计已不足以保证安全,需要构建包含技术工具、内部实践、用户教育及AI专项防护的多层防御体系,方能应对日益精密的攻击者。
