當駭客變成國家隊與 AI：給 2026 年加密項目的安全自我檢查清單

Chainfeeds 導讀：

過去十年，加密世界花了大量時間證明自己不是龐氏騙局；接下來的十年，它需要用同樣的決心，證明自己在安全層面上足以承載嚴肅資本。

文章來源：

文章作者：

鏈上啟示錄

觀點：

鏈上啟示錄：今年的加密攻擊呈現出一種新的對稱性：事件數量減少，但每次攻擊的破壞性卻顯著增強。SlowMist 發布的 2025 年中報告顯示，上半年加密行業遭遇了 121 起安全事件 —— 比去年同期的 223 起下降了 45%。這本應是好消息，但攻擊事件損失卻從 14.3 億美元飆升至約 23.7 億美元，增幅 66%。攻擊者不再浪費時間在低價值目標上，而是專注於高價值資產和高技術門檻的入口。去中心化金融（DeFi）依然是攻擊者的主要戰場，佔據了 76% 的攻擊事件。然而，儘管事件數量佔比高達 92 起，DeFi 協議的損失卻從 2024 年的 6.59 億美元下降至 4.7 億美元。這一趨勢表明，智能合約的安全性正在逐步提高，形式化驗證、漏洞懸賞計劃和運行時保護工具的普及，正在為 DeFi 構築更堅固的防線。但這並不意味著 DeFi 協議已經安全。攻擊者的目標轉向了更為複雜的漏洞，尋找那些能夠帶來更大回報的機會。與此同時，中心化交易所（CEX）則成為了損失的主要來源。儘管僅發生了 11 起攻擊事件，但其造成的損失高達 18.83 億美元，其中某知名交易所的單次損失就達 14.6 億美元 —— 這是加密史上規模最大的單次攻擊事件之一（金額上甚至超過 Ronin 事件的 6.25 億美元）。這些攻擊並非依賴鏈上漏洞，而是源於帳戶劫持、內部權限濫用和社會工程攻擊。這種「效率差」也導致了攻擊目標的兩極分化：DeFi 戰場：技術密集型 —— 攻擊者需要深入理解智能合約邏輯、發現重入漏洞、利用 AMM 定價機制缺陷；CEX 戰場：權限密集型 —— 目標不是破解代碼，而是獲取帳戶訪問權限、API 金鑰、多簽錢包的簽名權。與此同時，攻擊手段也在進化。2025 年上半年出現了一系列新型攻擊：利用 EIP-7702 授權機制的釣魚攻擊、使用 deepfake 技術偽裝成交易所高管的投資詐騙、偽裝成 Web3 安全工具的惡意瀏覽器插件。香港警方破獲的一個 deepfake 詐騙集團造成了超過 3,400 萬港元的損失 —— 受害者以為自己在和真實的加密貨幣影響者視頻通話，實際上對方是 AI 生成的虛擬形象。