一切始于一条信息。
品牌标识看似可信,Logo 也无懈可击,领英个人资料上还显示有几个共同联系人。这位招聘者称,他们在 GitHub 上看到了你的资料,想为你提供一个职位 —— 一家资金雄厚的 AI + DeFi 协议的合约岗位。你快速浏览了他们的网站,设计流畅、看起来真实可信,满是行业内常见的专业术语。对方还发来一份入围测试,文件以 ZIP 压缩包形式发送。
你解压文件后,安装程序自动启动 —— 屏幕上一闪而过一个钱包权限请求弹窗。你不假思索地点击确认。起初并无异常,电脑没有死机。但五分钟后,你的 Solana 钱包已空空如也。
这并非凭空想象。区块链分析专家记录的多起朝鲜相关黑客组织发起的攻击活动,大致都是这个流程。黑客通过伪装招聘者、植入木马的测试文件和恶意软件,实现对钱包的入侵。
在今天的文章中,我将带你了解 2025 年加密货币漏洞攻击的演变趋势,以及如何防范一些最常见的链上漏洞攻击。
2025 年加密货币盗窃现状与攻击模式演变
2025 年 1 月至 9 月,与朝鲜相关的黑客窃取的加密货币价值已超过 20 亿美元。区块链分析公司 Elliptic 的数据显示,就数字资产犯罪涉案金额而言,2025 年已成为有记录以来最严重的一年。
总损失中很大一部分来自 2 月的 Bybit 交易所黑客攻击事件,该事件导致这家加密货币交易所损失 14 亿美元。目前,朝鲜政权窃取的加密资产累计价值已超过 60 亿美元。
除了令人震惊的数字,Elliptic 的报告中还有一个显著变化:加密货币漏洞攻击的薄弱环节已发生转移。报告指出,“2025 年的大多数黑客攻击都是通过社会工程学攻击实施的”,这与前几年不同 —— 当时朝鲜的大规模盗窃主要通过破坏基础设施实现,比如 2022 年和 2024 年臭名昭著的 Ronin Network 黑客攻击事件,或是 2016 年的去中心化自治组织(DAO)黑客攻击事件。
近来,这个薄弱环节已从基础设施转向了人。Chainalysis 的报告也显示,2024 年,私钥泄露导致的加密货币被盗案件占比最高(43.8%)。
显然,随着加密货币的发展,协议层和区块链层的安全性不断增强,黑客转而选择更容易得手的目标 —— 持有私钥的人。
这类攻击也变得更有组织性,而非随机针对个人。FBI 和 CISA 近期的公告和新闻报道显示,与朝鲜相关的黑客组织发起的攻击活动,融合了面向加密货币工程师的虚假工作邀约、植入木马的钱包软件,以及恶意开源代码贡献等手段,最终实现漏洞攻击。尽管黑客依赖的工具具有技术性,但攻击的切入点却是人的心理层面。
规模最大的加密货币盗窃案 ——Bybit 黑客攻击事件,就展示了这种攻击模式如何大规模实施。当约 14 亿美元的 ETH 从一个钱包集群中被窃取时,早期的技术分析指出,问题出在签名者未核实所批准的交易内容。以太坊网络准确执行了有效且已签名的交易,但出问题的是人工审核这一环节。
同样,在 Atomic Wallet 黑客攻击事件中,约 3.5 亿至 10 亿美元的加密资产被盗,原因是恶意软件攻击了用户设备上私钥的存储方式。
许多案例都体现了同一个问题:当人们未核实完整钱包地址就进行转账,或是以极低的安全级别存储私钥时,协议层几乎无法提供任何保护。
自我托管并非绝对安全
“不是你的私钥,就不是你的资金”(Not your keys, not your coins)这句话依然成立,但问题在于,很多人记住了这句话,却忽视了后续的安全防护。
过去三年,许多用户将资金从交易所转出 —— 这既源于对 FTX 式崩盘重演的担忧,也受到意识形态信念的驱动。过去三年,去中心化交易所(DEX)的累计交易量增长了两倍多,从 3.2 万亿美元增至 11.4 万亿美元。
尽管这看似是安全意识的提升,但风险已从托管层面转移到了个人操作的混乱层面。笔记本电脑上的浏览器插件、保存在手机聊天记录或邮件草稿中的助记词,以及存放在未加密笔记应用里的私钥,都难以抵御潜在的风险。
自我托管本应解决的是 “依赖问题”—— 依赖交易所、托管机构,或是任何可能暂停提现或破产的第三方。但它尚未解决 “认知问题”。私钥赋予你控制权的同时,也让你承担了全部责任。
那么,如何真正解决这个问题?
硬件钱包通过 “操作门槛” 提升安全性
冷存储(cold storage)能解决部分问题。它将你的资产转移至离线环境,相当于存入一个保险箱。
问题就此解决了吗?只能说部分解决。
通过将私钥移出通用设备,硬件钱包可以避免使用浏览器插件,也无需一键确认交易。它引入了物理确认步骤,这种 “操作门槛” 能为你提供保护。
但硬件钱包终究只是一种工具。
钱包提供商的安全团队对此直言不讳。Ledger 曾多次报告,有钓鱼攻击活动冒用其品牌,推出虚假浏览器插件和仿冒版 Ledger Live 应用。这些仿冒界面足够逼真,让人产生安全感,但在某个环节会诱导用户输入助记词。一旦助记词泄露,后续的资产被盗便不可避免。
用户还可能被诱骗在虚假的固件更新页面输入助记词。
硬件钱包的作用是转移攻击面,并通过设置操作门槛降低漏洞攻击的概率,但它无法完全消除风险。
隔离存储是关键
硬件钱包要发挥最佳效果,用户需通过可信渠道购买,并将恢复信息(recovery material)离线且隐秘地存储。
包括事件响应人员、链上侦探和钱包工程师在内的业内人士,大多建议采取 “隔离存储” 和 “风险分散” 策略。
一个钱包用于日常交易,另一个则尽量避免接入互联网。小额资产用于实验和 DeFi 流动性挖矿,大额资产则存入 “保险箱”,需要多步验证才能访问。
除此之外,基础的安全习惯也不可或缺。
一些简单且需长期坚持的习惯,往往能挽救局面。切勿将助记词输入任何网站,无论弹窗提示多么紧急。复制粘贴钱包地址后,务必在硬件钱包屏幕上核对完整地址。对于并非由你主动发起的交易,确认前务必暂停操作。对未经请求的链接和 “客服” 信息保持怀疑,直至证实其可信度。
这些行为都无法保证绝对安全,风险始终存在。但每一个习惯,都能进一步降低风险。
目前,对大多数用户来说,最大的威胁并非零日漏洞(zero-day exploit),而是那些未仔细核实的信息、因工作邀约诱人而立即下载运行的安装程序,以及写在购物清单同一张纸上的助记词。
当掌管数十亿美元资产的人将这些风险视为 “无关紧要的小事” 时,他们最终只会沦为标有 “漏洞攻击” 标签的案例研究。
原文:https://www.thetokendispatch.com/p/wallets-warnings-and-weak-links
作者:@CrypticPD(OpenBuild 翻译整理,原文有删减)
