跳到主要内容

Hacken 2026 年第一季度报告:4.82 亿美元被盗,打破加密货币“审计至上”信仰的一个季度

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

一个人在一次通话中损失了 2.82 亿美元。没有智能合约被利用,没有一行 Solidity 代码被触及。2026 年 1 月 10 日,一名虚假的 IT 支持代表诱导一位加密货币持有者执行了硬件钱包的“恢复”流程,并带走了比大多数 DeFi 协议总锁仓价值(TVL)还要多的比特币(Bitcoin)和莱特币(Litecoin)。这起单一事件——规模超过了 Drift,甚至超过了 Kelp DAO 本身——占据了 2026 年第一季度 Web3 所有损失金额的一半以上。

Hacken 的 2026 年第一季度区块链安全与合规报告 指出,该季度 44 起事件共导致 4.826 亿美元资金被盗。仅网络钓鱼和社会工程学就掠走了 3.06 亿美元——占季度总损失的 63.4%。智能合约漏洞利用仅造成了 8620 万美元的损失。访问控制失败——包括密钥泄露、云凭证被盗、多签接管——又增加了 7190 万美元。数据非常直观:上季度从有漏洞的代码中每被盗走 1 美元,攻击者就会通过围绕代码的人员、流程和凭证榨取大约 3.5 美元。

对于一个五年来一直将“已审计”视为“安全”代名词的行业来说,第一季度的数据是一个警示。攻击面已经转移,但投入却没有。

无人预料到的类别反转

在 2020 年至 2024 年的大部分时间里,加密货币安全的季度节奏是可预测的:跨链桥资金被抽干、借贷协议被重入、审计公司发布事后分析、治理投票决定赏金,以及开发者加强重入保护。智能合约漏洞利用在每个季度的损失榜单中都占据主导地位,这就是为什么整个行业围绕代码构建了其防御体系——漏洞赏金、审计竞赛、形式化验证以及部署前审查。

2026 年第一季度彻底颠覆了这一图表。对比 Hacken 追踪的三个类别:

  • 网络钓鱼 / 社会工程学:3.06 亿美元 —— 这一类别主要由一起 2.82 亿美元的单一事件驱动
  • 智能合约漏洞利用:8620 万美元,共涉及 28 起事件
  • 访问控制 / 密钥泄露:7190 万美元

将这些数字与行业实际投入的资金放在一起,这种定价错误显而易见。一个中等复杂度的 DeFi 协议的审计预算目前每次约为 6 万至 12 万美元,而且团队越来越多地将年度开发预算的 15%–20% 分配给围绕代码审查构建的“安全即服务”(Security-as-a-Service)产品。与此同时,击垮 Step Finance 的网络钓鱼攻击链仅花费了攻击者一次视频通话和一份带有恶意软件的“投资者简报”。防御性支出仍然是根据昨天的攻击分布进行校准的。

Hacken 简洁地界定了这种转变:“攻击者不再针对链上代码的漏洞,而是越来越多地利用链下弱点,包括用户行为、凭证管理和运营安全漏洞。”代码变得更难攻破了,但人没有。

六个已审计协议、3770 万美元与审计信号幻觉

报告中最令人不安的发现隐藏在一句话中:2026 年第一季度有六个已审计协议遭到攻击,共造成 3770 万美元的损失。其中一个协议 Resolv 已经通过了 18 次独立审计。另一个协议 Venus Protocol 也经过了五家不同公司的审查。

这种打破常规的暗示是:审计次数并不能预测安全结果。如果说有什么不同的话,那就是在极端情况下,它甚至呈负相关:拥有最沉重审计历史的协议往往也持有更多的 TVL,流动价值更高,因此会吸引最坚定的对手。你不会去钓鱼一个业余项目;你会去钓鱼那些管理员密钥能解锁 2.9 亿美元资金的协议。

Hacken 与 KuCoin、MEXC、WhiteBIT、Bybit、Centrifuge、Global Ledger、Allium、SVRN、M0、C4 和 Gray Wolf 等 11 家交易所及基础设施团队共同开发的合作伙伴调查也证实了同样的模式。审计仍然是必要的,但它们已不再充分,而且它们从未审计过第一季度资金流出的主要攻击面。

三个讲述完整故事的事件

1 月 2.82 亿美元硬件钱包诈骗案

1 月 10 日,一位资深的加密货币持有者在一次虚假的 IT 支持通话中交出恢复凭证后,损失了价值 2.82 亿美元的比特币和莱特币(根据 ZachXBT 的重构)。没有交易所被黑,没有智能合约漏洞,也没有管理员密钥,仅仅是一段对话。

这起事件之所以奏效,也是因为它具有普遍性:硬件钱包的用户体验(UX)仍然通过一个看起来与合法操作几乎一模一样的流程来引导恢复。攻击者不需要攻破 Ledger 设备上的安全元件——他们只需要攻破用户对“我的钱包正要求我进行恢复”意味着什么的心理模型。一旦越过这个门槛,在没有任何加密原语被破坏的情况下,2.82 亿美元就被转移了。

Step Finance:虚假风投电话

1 月 31 日,由于攻击者入侵了属于该协议高管的设备,Step Finance 的金库损失了约 4000 万美元。根据 Step Finance 自身披露的信息,最初的攻击向量是一场虚假的风险投资(VC)电话会议——这类会议是创始团队在融资期间每月都要参加数十次的。通过“路演材料”投送的恶意软件让攻击者获得了对高管笔记本电脑的持久访问权限,并由此渗透到移动金库资金的签署流程中。

这种模式——通过社会工程学侵入高管设备,然后横向移动到金库运营——目前已有足够多的记录,以至于它可能被视为 2026 年与朝鲜(DPRK)相关组织的默认攻击剧本。Bitrefill 在 3 月 1 日的披露中引用了几乎相同的迹象:员工笔记本电脑被入侵、遗留凭据被窃取,且操作手法与之前的 Lazarus/Bluenoroff 活动重合。

Drift:管理员密钥胜过持久性 Nonce

4 月 1 日发生的 Drift Protocol 漏洞利用事件导致 2.85 亿美元流失——超过了该协议 TVL 的一半。Chainalysis 和 Elliptic 都将此归因于与朝鲜相关的攻击者。其技术手段非常巧妙:Solana 的持久性 Nonce(durable nonces)允许交易预先签署并在稍后执行。在 3 月 23 日至 30 日期间,攻击者准备好了取款交易。然后,通过社会工程学,他们从真正的 Drift 安全委员会成员那里获得了 2/5 阈值多签(multisig)的签名,而该多签在几天前刚刚被迁移为零时间锁(zero timelock)。

一旦拥有了签名,执行就变得微不足道:将一种毫无价值的代币(CVT)作为抵押品列入白名单,存入 5 亿单位,然后取出 2.85 亿美元的真实资产。被利用的“漏洞”不在 Drift 的代码中——代码完全按照设计运行。问题在于一个假设,即多签签署人永远不会签署他们不理解的内容。

三起事件,三个不同的攻击面,一个共同的根本原因:防御边界在“合约”与“控制合约的人类”之间存在间隙,而每一个深谙此道的攻击者现在都确切地知道这个间隙在哪里。

资金投入的方向

如果 2026 年第一季度是持久性攻击面转移的开始,而非统计学上的异常,那么这对安全预算的影响将是结构性的,而非表面性的。以下是一份简短且诚实的清单:

  • 抗钓鱼身份验证应作为硬性要求,而非“推荐控制措施”。 这意味着在每个可以接触密钥、批准交易或访问云基础设施的运营账户上都必须使用 FIDO2 / WebAuthn / 通行密钥(passkeys)。NIST 已经将这些视为 AAL2 标准。加密行业应该将它们视为任何参与多签的人员的准入门槛。
  • 硬件钱包在厂商层面的 UX 重构。 那场 2.82 亿美元的骗局之所以得逞,是因为“由合法支持发起的恢复流程”和“攻击者通过电话发起的恢复流程”在用户看来是完全一样的。硬件设备供应商——Ledger、Trezor、SafePal 及其托管方案等——现在是抗钓鱼问题的最前线,而不再仅仅是一个被动组件。
  • 交易预览,而不仅仅是模拟。 像 Drift 这样的协议从真实的人类那里获得了签名,而这些人几乎肯定没有阅读机器可解释格式的签署内容。渲染完整交易语义意图的下一代签署工具(如 Rabby、Blockaid、Fordefi、Ledger Clear Signing)不再仅仅是提升用户体验的手段,它们是“我们在签署前发现了问题”与“我们在事后从 Twitter 上看到消息”之间的区别。
  • 运营安全审计与代码审计并重。 SOC 2 Type II、SIM 卡交换攻击防护、事故响应桌面演练、抗钓鱼 MFA 强制执行、在任何可以发起签署流程的机器上部署设备级 EDR。机构托管领域多年来一直将这些视为基准。而加密原生团队——尤其是那些已经运行了 18 次代码审计的协议团队——往往将它们视为可选方案。
  • 专项安全培训预算。 大多数协议金库会花费六位数进行下一次外部审计,但在针对其自身高管的钓鱼模拟上花费为零。2026 年第一季度是这种比例不再合理的一个转折点。

这些都不能取代代码审计。智能合约漏洞在第一季度仍造成了 8620 万美元的损失,且即使在攻击手段发生转变的情况下,该数字仍同比增长了 213%。但该行业现在面临着双线作战,而预算却仍只针对其中一线。

合规性叠加

攻击面的转移正值监管机构加强对加密货币公司运营要求之际。欧盟的 MiCA 和 DORA 已进入主动执行窗口。GENIUS 法案建立了美国第一个联邦支付型稳定币框架。迪拜重组了其联邦加密货币监管机构。新加坡开始对获批的供应商执行符合巴塞尔协议的资本标准。

从职能上看,这些制度中的每一个都是运营安全监管。DORA 明确要求金融实体进行韧性测试、事故报告和第三方风险控制——这些规定几乎精确对应了导致第一季度 3.78 亿美元损失(3.06 亿美元钓鱼 + 7190 万美元访问控制)的故障类别。合规义务与防损义务正汇聚成同一个答案:证明你的人员和基础设施像你的代码一样坚固。

对于交易所、托管机构和大型 DeFi 协议来说,“审计认证”在欧洲或美国监管机构面前不再是万能的。取而代之的将更接近于全栈安全证明:代码审计 + 运营控制 + 抗钓鱼架构 + 用户端身份验证标准 + 透明的事故响应。

对开发者的意义

针对 2026 年在公链上构建的团队,第一季度的数据改变了优先级堆栈:

  1. 假设你的管理员密钥就是目标。 而不是你的合约。在设计多签(Multisig)流程、时间锁(Timelocks)和签名者教育时,应基于这样一个前提:老练的对手会尝试通过非法手段从合法的自然人那里获取合法签名。
  2. 将你的云基础设施纳入安全范围。 Resolv 的 AWS KMS 泄露和 Bitrefill 的笔记本电脑被攻破并非极端案例。任何能够触及签名密钥、部署流水线或国库授权流程的凭证,都应纳入带有硬件绑定凭证的抗网络钓鱼身份验证(Phishing-resistant authentication)保护之下。
  3. 为“人因层”防御预算列支。 网络钓鱼模拟、事件响应演习、高管设备 EDR。针对具有公开访问权限人员的专用 SIM 卡交换(SIM-swap)保护。这些项目在 2024 年是可选的。在 2026 年第一季度之后的世界里,它们是运营一个持有资金的协议的实际成本。
  4. 预料你的用户会被直接盯上。 2.82 亿美元的诈骗证明,针对终端用户的网络钓鱼现已扩展到协议规模的损失。钱包 UX、交易清晰度、恢复流程加固和产品内教育是安全产品的一部分,而非增长产品。

那些适应这种威胁模型的协议,看起来将不再像拥有审计 PDF 的 2023 年代 DeFi 团队,而更像拥有首席信息安全官(CISO)、合规日历和董事会级风险委员会的 2026 年金融科技公司。这听起来很昂贵,因为它确实很昂贵。而与之相比的代价——在一个电话中损失 2.82 亿美元——则更高。

总结

Hacken 的 2026 年第一季度报告并非一个“安全状况正在恶化”的故事。智能合约质量确实在提高;漏洞利用金额同比增长 213% 的事实掩盖了协议层防御现在已初见成效的现实。故事的本质是攻击者是理性人,而理性的攻击者会向防御最薄弱的生产面迁移。在加密货币历史的大部分时间里,那个表面是代码。截至 2026 年第一季度,它变成了人员、流程和特权基础设施。

行业可以继续将其 80% 的安全预算花在占损失 18% 的代码漏洞上——或者也可以迅速针对 1 月份那场 2.82 亿美元诈骗所描述的现实世界进行重新调整。本季度最重要的数字不是 4.82 亿美元的总损失,而是这个比例:3.06 亿美元的网络钓鱼对比 8,620 万美元的漏洞利用。这个数字是 2026 年防御资金该流向何处的蓝图。

BlockEden.xyz 在 15 条以上的链上运营企业级区块链 API 基础设施,其 SOC 2 和 ISO 27001 控制涵盖了 Hacken 第一季度报告确认为新前线的操作层面——密钥管理、签名者工作流、云凭证卫生。 探索我们的 API 市场 ,在专为 Web3 在 2026 年面临的威胁模型而设计的基础设施上进行构建。

来源

Share on Twitter