跳到主要内容

美国财政部 OCCIP 将加密货币纳入联邦网络防御边界

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

美国历史上首次,财政部正以对待银行的方式对待加密货币公司——至少在识别潜在威胁方面是如此。2026 年 4 月 10 日,网络安全和关键基础设施保护办公室 (OCCIP) 宣布,符合条件的数字资产公司将免费获得由联邦政府提供、历来仅限 FDIC 承保银行和传统金融机构使用的可操作网络安全情报。

这是新闻稿中的一小行字。它也标志着一个低调但深刻的转变:华盛顿已不再将加密货币视为外围技术部门,而是将其视为金融系统关键基础设施的一部分。

建立在 5.78 亿美元教训之上的政策

这一时机并非偶然。从某些衡量标准来看,2026 年 4 月是自 Bybit 事件以来 DeFi 安全形势最糟糕的一个月——在短短 18 天内,12 次独立的攻击事件共导致约 6.06 亿美元被盗。仅拉撒路集团 (Lazarus Group) 在此期间就转移了 5.78 亿美元。

其中两次攻击占了损失的大部分:

  • Drift Protocol —— 2.85 亿美元,2026 年 4 月 1 日。 归属于与朝鲜有关联的组织 UNC4736(也被追踪为 AppleJeus、Citrine Sleet 和 Gleaming Pisces)的攻击者完成了为期六个月的社会工程学行动。他们伪装成量化交易公司,赢得了 Drift 贡献者的信任,并滥用 Solana 的 "durable nonces"(持久性随机数)功能,欺骗安全理事会成员预先签署休眠交易,从而在暗中转移了管理员控制权。从资金被撤走那一刻起,金库在约 12 分钟内被洗劫一空。
  • KelpDAO —— 2.92 亿美元,2026 年 4 月 18 日。 一条伪造的 LayerZero 消息从 KelpDAO 的跨链桥中抽走了 116,500 个 rsETH,成为今年最大的单笔 DeFi 攻击事件。

根据 TRM Labs 的数据,朝鲜目前占 2026 年所有加密货币黑客损失的约 76%,自 2017 年以来的累计盗窃额已超过 60 亿美元。这不再仅仅是一个行业关注的问题。这是一个国家安全问题。

OCCIP 的计划实际上是联邦政府首次承认,针对数字资产平台的朝鲜式攻击与针对银行电汇、ACH 轨道和 SWIFT 的国家支持攻击如出一辙——而且加密货币运营商理应享有相同的预警渠道。

加密货币公司究竟能获得什么

头条新闻是“免费的网络安全情报”。实质内容则更有趣。符合条件的美国数字资产公司现在可以申请访问财政部用于保持银行部门领先于攻击者的相同威胁情报流。在实践中,这包括一套分层的数据源:

  • CISA 的已知漏洞利用 (KEV) 目录。 联邦民事机构已经根据《约束性操作指令 22-01》的要求,必须在固定截止日期内修复 KEV 列出的 CVE 漏洞。该列表是公开的,但进入联邦渠道的价值在于时机——运营商可以在漏洞被大规模武器化并成为公开公告之前,就了解到相关信息。
  • FBI 简报和私营部门通知。 这些内容涵盖了正在进行的攻击行动,通常包含技术入侵指标 (IOCs) 和对手的攻击手法,这些通常不会出现在公开报道中。
  • 财政部特定的金融部门 IOCs。 包括钱包集群、跨链桥准备模式、混币器行为以及交易指纹。这些是 OCCIP 分析师通过跨银行报告整合而成的——到目前为止,银行可以看到这些信息,但中心化交易所或 DeFi 协议却无法看到。
  • 针对朝鲜、伊朗相关组织和勒索软件攻击者的行业特定建议。 这是 Drift 事件取证时间线中最能体现价值的一层。拉撒路集团的钱包模式和跨链桥准备活动在事后是可以识别的;而 OCCIP 级别的情报共享旨在这些模式导致资金流失 之前 将其识别出来。

符合条件的实体可通过联系 OCCIP-Coord@treasury.gov 进行申请。“符合条件”的标准在公告中被刻意模糊处理——财政部保留筛选参与者的裁量权,这既是一个特色,也是一个摩擦点。

为什么这不仅仅是一个新的邮件列表

如果你狭隘地解读 OCCIP 的公告,听起来像是财政部增加了一个新的邮件分发列表。但从结构上看,其影响更为深远。

十年来,美国政策一直将加密货币公司视为恰好处理资金的技术公司。默认的信息共享机制——金融服务信息共享和分析中心 (FS-ISAC)——将成员资格限制在拥有银行执照或支付高额费用的行业等级之内。FS-ISAC 在 75 个国家拥有 5,000 多家成员公司,但其成员历来由银行、保险公司、支付处理器和证券机构主导。加密原生交易所和 DeFi 协议很少能作为一等参与者加入。

OCCIP 的新渠道并不取代 FS-ISAC。它与之并行。通过并行运行,它实际上在传达:即使一家公司不能或不愿支付费用加入银行主导的 ISAC,联邦政府仍会将其视为美国需要捍卫的关键金融基础设施的一部分。

这就是政策框架的转变。同一周,Coindesk 和 The Record 都指出,这一举措使加密货币公司成为了分享给传统公司的黑客预警中的“内部”合作伙伴——这种表述在五年前的任何美国财政部声明中都是不可想象的。

运营商有哪些变化

对于愿意申请的交易所、托管机构、跨链桥和 DeFi 协议来说,过去无法实现的三个目标现在变得可行:

针对武器化 CVE 的更快补丁周期。 运行标准云和 DevOps 工具的协议团队不再需要等待厂商公告或公开的 CVE 分析报告,就能获知漏洞已在野外被利用。财政部的渠道往往比公开的 NVD 条目更早发现攻击信号。

朝鲜 (DPRK) 钱包模式预警。 这是最具体的变化。Drift 事件的法证调查显示,拉撒路 (Lazarus) 的准备阶段行为在资金流失前几天就在链上数据中可见——但没有一个团队拥有足够的背景信息来对其采取行动。一个汇总了多家公司发现并推送到运营中心的联邦渠道,为 DeFi 提供了“你的同行刚刚看到这个地址探测其托管流程”的信号,这种信号银行在可疑的 ACH 发起中早已拥有。

内部风险和招聘渠道指标。 Drift 案例已成为一个教学范本,表明朝鲜 (DPRK) 现在投入数月时间进行社会工程攻击——虚假的量化交易公司、虚假的雇员、虚假的交易对手。财政部掌握着金融部门招聘欺诈案件的汇总报告,而加密货币运营商才刚刚开始大规模地遇到这些情况。

反之亦然,情报共享关系是双向的。为了留在频道内,各公司将被要求回报事件和 IOCs。这种文化转变——从“我们的安全态势是专有的”到“我们看到的,联邦政府和我们的同行也能看到”——是更难的部分。

政治:是关键基础设施,而非赌场

有一个监管潜台词值得直接指出。在过去五年的大部分时间里,美国的加密政策一直是敌对的,SEC、CFTC 和 FinCEN 各自推行不同的理论,解释加密货币是什么以及必须如何监管。OCCIP 的举动来自联邦政府的一个不同部门——网络和关键基础设施部门——它基于一个不同的前提。

银行获得 OCCIP 的支持,并不是因为财政部批准其资产负债表的每一行,而是因为如果它们的网络防御失败,国家的支付系统就会失败。4 月 10 日公告中的隐含论点是,加密货币现在也是如此。如果承载 3000 亿美元稳定币流量、190 亿美元以上代币化 RWA 以及日益增长的跨境结算份额的轨道在网络攻击下崩溃,更广泛的金融体系也会感受到冲击。

这也是为什么即使对于那些从未申请的公司来说,该公告也很重要。一个联邦机构正式将数字资产公司视为“受保护的”关键基础设施,改变了未来每一场斗争的政治基调。未来关于 DeFi 监管、稳定币许可和 AI 代理支付的国会辩论,现在将在财政部自己的网络安全部门已经承认加密货币是值得捍卫的系统的一部分这一背景下进行。

差距依然存在

该倡议并非灵丹妙药。目前仍存在三个实际差距。

资格不透明。 财政部尚未公布标准。在参与者名单公开(或至少标准公开)之前,规模较小的 DeFi 协议和在离岸注册的平台没有明确的加入路径。

仅限美国。 加密货币是全球性的;服务于美国用户的最大 CEX 并不总是总部设在美国。与英国 NCSC、新加坡 MAS-CSA 渠道以及欧洲 ENISA 的国际协调不属于已公布的范围。

它不能修复协议层面的脆弱性。 威胁情报能帮助 SOC 尽早抓获攻击者;它无法修补一个信任未验证消息格式的跨链桥。Drift 和 KelpDAO 事件都源于弱点(持久 Nonce 签名、跨链消息验证),任何邮件订阅都无法解决这些问题。OCCIP 提高了运营防御的底线;它并不会改变协议设计的逻辑。

对基础设施提供商的影响

对于处于协议和最终用户之间的公司层——RPC 提供商、钱包平台、托管商、索引器、预言机网络——OCCIP 的计划重塑了采购对话。机构客户,尤其是新一代受监管的稳定币发行方和代币化 RWA 管理人,即将开始询问基础设施供应商是否参与了 OCCIP 级别的情报共享。这个问题将成为一个采购门槛。

更广泛的信号是:网络安全正从单个协议的关注点转向全行业的基础设施关注点。能在 2026 年黑客浪潮中幸存下来的供应商,将是那些将威胁情报摄入、IOC 共享和符合联邦标准的事件响应视为必备服务,而非可选的“安全表演”的供应商。

BlockEden.xyz 为 Sui、Aptos、Ethereum 和其他链上的构建者提供生产级 RPC 和索引器基础设施。在 OCCIP 协同威胁格局中运营的团队可以探索我们的 API 市场,获取为机构时代构建的基础设施。

2026 年深度解读

Drift 和 KelpDAO 的安全漏洞事件将被视为催化剂 —— 但 OCCIP 的应对措施可能会在无形中重塑未来十年。通过将联邦网络保护伞扩展到数字资产公司,财政部同时实现了两个目标:它承认了朝鲜(DPRK)支持的国家级对 DeFi 的攻击属于国家安全事务,并承认加密货币公司不再被视为处于金融系统防御边界之外。

这种监管转变的重要性与其产生的头条新闻并不成正比。然而,它将改变每一家机构资产配置者、监管机构和交易对手对加密货币运营风险的看法。到 2027 年,当《CLARITY 法案》、《GENIUS 法案》稳定币规则制定以及 OCC 的银行加密货币托管指南共同构建成一个连贯的监管架构时,OCCIP 在 2026 年 4 月的低调扩张或许会被证明是所有这些政策的基石。

了望塔的视野变得更加开阔了。

资料来源

Share on Twitter