你的代码没问题 — 他们盯上的是你的密钥:揭秘加密货币 22 亿美元基础设施攻击转型
加密货币历史上最昂贵的代码行并不是一个漏洞,而是一个钓鱼链接。
2025 年 2 月,Safe{Wallet} 的一名开发人员点击了一条看似常规的消息。几小时内,北朝鲜特工就劫持了 AWS 会话令牌(session tokens),绕过了多重身份验证(MFA),并从 Bybit 盗取了 15 亿美元 —— 这是加密货币历史上最大的一桩窃案。没有智能合约漏洞被利用,没有链上逻辑失效。代码没问题,出问题的是人。
TRM Labs 的《2026 年加密货币犯罪报告》证实了这次劫持所预示的趋势:智能合约漏洞利用作为加密货币主要威胁向量的时代已经结束。对手已经“向技术栈上层”转移,放弃了寻找新颖的代码漏洞,转而攻击围绕在安全协议周围的操作基础设施 —— 包括私钥、钱包、签名机和云控制平面。
数据揭示了冷酷的现实
2025 年,不法分子通过近 150 次不同的黑客攻击和漏洞利用盗取了 28.7 亿美元。但这些损失的分布揭示了真正的转向:22 亿美元(占总被盗资产的 76%)来自基础设施攻击,而非智能合约漏洞利用。攻击者的目标是私钥、受损的云凭据,以及中心化实体的钱包编排层。
这种悖论令人触目惊心:
- 事件数量减半:从 2024 年的 410 起减少到 2025 年的约 200 起
- 损失金额攀升:从 20.1 亿美元增加到 29.4 亿美元
- 单次事件平均损失翻倍以上:从约 500 万美元增加到近 1500 万美元
更少的攻击,更高的回报 —— 这是一个成熟对手阶层的标志,他们已经学会将火力集中在高价值目标上。
同时,2025 年非法加密货币总交易量创下 1580 亿美元的历史新高,比前一年增长了 145%。这一激增并非由普通罪犯驱动,而是由与国家相关的行为者和复杂的金融网络驱动,其中与俄罗斯相关的制裁规避是主要原因。
为什么对手转向技术栈上层
这种转变符合经济逻辑。智能合约审计已经显著成熟。在 2020 年至 2025 年间,行业在代码审计上投入了数十亿美元 —— CertiK、Trail of Bits 和 OpenZeppelin 等公司建立了系统的方法论,形式化验证工具成为标准,漏洞赏金计划为白帽发现创造了经济激励。
结果呢?现在要在顶级 DeFi 协��议中发现一个新颖的智能合约漏洞,所需的工作量和专业知识比三年前要大得多。容易摘到的果实已经被摘完了。
然而,操作基础设施并没有得到同等的关注。私钥管理实践在整个行业中参差不齐。云安全配置依然不够一致。而且,人类作为任何安全链中最薄弱的一环,仍然容易受到社会工程学攻击,而任何代码审计都无法防止这一点。
对于顶级对手来说,计算逻辑很简单:既然可以通过钓鱼一名拥有高级 AWS 访问权限的开发人员,在一个下午就偷走 15 亿美元,为什么还要花几个月时间去寻找一个晦涩的重入漏洞(reentrancy bug)呢?
北朝鲜:全球最危险的加密货币对手
如果不讨论北朝鲜,关于加密货币基础设施攻击转向的讨论就不完整。Lazarus 集团及其 TraderTraitor 子团伙代表了全球最先进、资源最充足的加密货币对手。
2025 年,北朝鲜黑客至少窃取了 20.2 亿美元的加密货币 —— 同比增长 51%,约占全球加密货币窃案总额的 60%。这不是投机取巧的黑客攻击,而是一项国家级项目。
Bybit 攻击体现了他们进化的方法论。TraderTraitor 的特工并没有寻找智能合约漏洞。他们锁定了一名拥有高级系统权限的 Safe{Wallet} 开发人员,执行了针对性的社会工程学攻击 —— 可能涉及虚假的工作邀约或投资机会 —— 并说服该开发人员下载了恶意软件。随后,他们劫持了 AWS 会话令牌,即授予雇主云基础设施访问权限的临时凭据。
通过窃取活动的会话令牌而非密码,攻击者完全绕过了 MFA。一旦进入 Safe{Wallet} 的 AWS 环境,他们就操纵了交易签名过程,将价值 15 亿美元的以太坊(Ethereum)重定向到他们控制的钱包中。
这种攻击模式 —— 通过社会工程学获得初始访问权限,在云基础设施中横向移动,以及操纵签名机制 —— 模仿了针对传统金融机构的高级持续性威胁(APT)组织的剧本。不同之处在于,加密货币的操作安全尚未跟上这一威胁的步伐。
该计划还延伸到了直接黑客攻击之外。朝鲜特工通过虚假身份潜入加密公司担任 IT 员工,从内部获取特权访问。这些内部人员会摸清内部系统、安全控制和私钥管理实践 —— 这种侦查活动使得那些登上头条的高影响破坏成为可能。
2026 年 1 月的 3 亿美元:钓鱼攻击的主导地位
如果说 2025 年展示了攻击目标向基础设施转移,那么 2026 年初则证实了这已成为新常态。根据安全公司 CertiK 和 PeckShield 的数据,仅在 2026 年 1 月,钓鱼攻击和社会工程学攻击就从加密用户手中掠夺了超过 3 亿美元。
一起涉及 2.84 亿美元的 Trezor 冒充攻击占 1 月损失的 71%,这说明了社会工程学活动如何以相对较低的技术复杂性产生巨大的回报。
AI 正在加速这一趋势。攻击者现在利用 AI 生成的深度伪造(deepfakes)、定制的钓鱼信息和自动化的诈骗代理来大规模瞄准受害者。虚假开发者招聘测试 —— Lazarus Group 的惯用技巧 —— 已变得与合法的招聘流程几乎难以区分。
其影响是令人警醒的:随着智能合约变得更加安全,攻击面正果断地转向管理、部署和与这些合约交互的人员。
审计悖论
加密行业的安全支出揭示了一种危险的错配。数十亿美元流向智能合约审计 —— 而这些审计确实显著提高了代码质量。但数据表明,最昂贵的攻击不再是智能合约漏洞,而是密钥管理失败。
考虑这个统计数据:DeFi 协议通过审计到被利用的中位时间为 47 天。在 2020 年至 2025 年间,超过 42 亿美元从通过审计的协议中流失。审计本身不是问题 —— 他们正确地验证了代码。问题在于代码“周围”的一切:密钥如何存储、签名权限如何分配、云环境如何配置,以及员工如何接受识别社会工程学的培训。
最具前瞻性的安全公司相应地扩大了其业务范围。现代 2026 年审计框架现在包括密钥管理审查、治理配置审计、跨链信任边界分析、运行时监控设置和事件响应计划 —— 这与两年前定义的代码审查和静态分析方法相比是一次巨大的扩张。
从边界防御到零信任
加密安全正在经历传统金融在过去十年中完成的相同架构转型:从边界防御到零信任。
在边界模型中,安全侧重于建立坚固的围墙 —— 严格的智能合约审计、形式化验证和漏洞赏金。边界内的一切都被隐式信任。当攻击者通过社会工��程学绕过边界时,这种模型就会发生灾难性的失败,正如 Bybit 黑客事件所展示的那样。
零信任架构假设每一个访问请求都可能是恶意的,无论其来源如何。Aave 和 Lido 等主要的 DeFi 协议已经开始集成多重签名钱包和零信任框架,以对抗钓鱼攻击和账户受损。
对于加密组织而言,实际影响包括:
- 密钥管理的多方计算 (MPC):消除签名权限中的单点故障
- 硬件安全模块 (HSMs):将加密操作与通用计算环境隔离
- 持续运行时监控:实时检测异常交易模式,而不是依赖部署后的审计
- 安全意识文化:培训每位员工 —— 不仅是工程师 —— 识别社会工程学企图
- 事件响应剧本:将泄露视为不可避免的,而不是将其视为不可能发生的
这对 DeFi 超过 1000 亿美元的 TVL 意味着什么
随着超过 1000 亿美元锁定在 DeFi 协议中,基础设施目标转移的风险是关乎生存的。像朝鲜 Lazarus Group 这样的国家级行为者现在将区块链基础设施视为情报目标,而不仅仅是财务目标。从之前的攻击中窃取的源代码和基础设施蓝图使得未来的、潜在灾难性的利用成为可能。
行业的反应将决定 DeFi 是否能维持机构资本的流入。机构投资者评估运营风险的方式与零售用户不同。一个拥有完美智能合约代码但密钥管理实践薄弱的协议�,对于成熟的资金分配者来说,代表着不可接受的风险概况。
好消息是解决方案已经存在。运行时监控、基于 MPC 的签名、零信任架构和 AI 驱动的威胁检测都是成熟的技术。挑战在于普及 —— 特别是在缺乏顶级 DeFi 平台资源的中端协议和中心化实体中。
前方的道路
TRM Labs 的 2026 年报告描绘了一幅攻击者进化的速度超过行业防御速度的图景。代码正变得越来越好。但其周围的基础设施却没有跟上步伐。
三个发展将塑造未来几年的加密安全:
-
监管压力:随着欧盟的 MiCA 和美国的 GENIUS 法案等合规框架强制执行运营安全标准,协议将被迫在提高代码质量的同时投资于基础设施加固。
-
AI 驱动的防御:支撑复杂钓鱼攻击的相同 AI 能力也可以为异常检测、行为分析和自动化事件响应提供动力。AI 驱动的攻击与防御之间的军备竞赛将定义加密安全的下一章节。
-
保险和风险市场:随着加密保险的成熟,承保人会将运营安全实践计入保费,从而为更好的密钥管理、访问控制和事件响应能力提供财务激励。
TRM Labs 报告的核心信息很明确:加密安全边界已经扩大。代码质量是必要的,但还不够。下一代加密安全必须不仅保护智能合约,还要保护围绕它们的整个运营栈 —— 从云基础设施到人类心理。
对手已经向栈的上层移动。是时候让行业的防御跟上了。
构建在安全的区块链基础设施之上比以往任何时候都重要。BlockEden.xyz 在 20 多个链上提供具有内置可靠性和监控功能的企业级 RPC 和 API 服务 —— 这种基础设施基础让团队能够专注于构建,而不必担心运营风险。探索我们的 API 市场以开始使用。