跳到主要内容

2026 年 Q1 加密安全报告:15 亿美元 Bybit 黑客事件如何标志着基础设施攻击新纪元

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

从数字上看,理应令人感到些许安慰。智能合约审计从未如此成熟,形式化验证已成主流,各 DeFi 协议已累计在安全审查上投入数亿美元。然而,2026 年第一季度,加密行业损失超过 20 亿美元——其中包括数字资产历史上规模最大的单笔盗窃案。祸根不是 Solidity 漏洞,而是一台被攻陷的开发者笔记本电脑。

这是 2026 年安全领域最具决定性的故事:随着链上代码日趋安全,攻击者已将战场转移至链下。战火不再燃烧在智能合约字节码中,而是蔓延至云凭证、开发者机器、DNS 记录、npm 包以及多签名者的人类心理。对于任何在 Web3 基础设施领域构建或投资的人而言,理解这一转变已别无选择。

头条数字:一幅具有欺骗性的图景

2026 年 Q1 记录了约 4.5 亿美元的损失,分布在 60 余起以 DeFi 为重点的事件中——安全研究人员援引这一数字,既证明了加密盗窃的规模,也揭示了其持续性。但仅凭这一数字,本季度真实损失仍被低估。

2026 年 2 月 21 日,朝鲜的 Lazarus 集团在单次行动中从 Bybit 盗走约 15 亿美元——创下有史以来最大的加密货币盗窃记录。与更广泛的 Q1 DeFi 事件数据合并后,2026 年前三个月的加密货币总损失超过 20 亿美元

按月分解来看,波动剧烈:

  • 2026 年 1 月:约 3.7 亿—4 亿美元,由单笔 2.82 亿美元的网络钓鱼攻击主导
  • 2026 年 2 月:DeFi 事件损失约 4900 万美元(不含 Bybit 的 15 亿美元)
  • 2026 年 3 月:约 5200 万美元,涉及 20 余起事件——环比增长 96%

冒充诈骗同比激增 1400%。相比之下,智能合约漏洞造成的绝对损失同比下降约 89%。行业代码正在变得更安全,而其人员、系统和基础设施则成了新的攻击面。

Bybit:当供应链攻击击败智能合约

Bybit 漏洞已然成为安全圈的教科书案例,理所当然。以下是事件的真实经过。

Bybit 使用 Safe{Wallet}——加密领域最受信赖的多签名智能合约钱包之一——托管客户资金。Safe{Wallet} 合约本身并未被攻破。相反,Lazarus 集团(亦称 TraderTraitor 和 APT38,是朝鲜侦察总局旗下部门)攻陷了 Safe{Wallet} 工程团队一名开发者的机器

以此为据点,攻击者将恶意 JavaScript 注入 Safe{Wallet} 的 Web 界面。代码精准异常:对所有用户均正常运行,唯独针对 Bybit,且仅在 Bybit 执行特定类型的冷钱包交易时触发。当 Bybit 的签名者发起一笔看似例行的内部转账时,他们在不知情的情况下签署了一笔将持有约 15 亿美元 ETH 及 ERC-20 代币的冷钱包控制权转移给攻击者的交易。

恶意交易执行后仅两分钟,Lazarus 便将干净、未篡改的 JavaScript 文件上传至 Safe{Wallet} 的 AWS S3 存储桶——近乎实时地抹去了踪迹。

FBI 已确认归因。朝鲜的武器项目相当程度上依赖加密货币盗窃提供资金,而 Bybit 的战利品是迄今为止其规模最大的单次行动。

安全教训触目惊心:Bybit 的智能合约是安全的,其钱包治理通过了多签验证,签名者也没有做任何明显错误的事情。攻击向量是软件供应链——一个大多数加密安全框架根本未曾涉及的层面。

1 月网络钓鱼疫情:单笔诈骗 2.82 亿美元

Bybit 之前,2026 年 1 月已自行创下记录。1 月 16 日,一位投资者在针对硬件钱包用户的精密网络钓鱼活动中损失了 2.84 亿美元。攻击者冒充 Trezor 客户支持,通过伪造的紧急安全警告诱使受害者透露助记词。

一次社会工程学攻击,一个助记词,2.82 亿美元付之东流。

1 月总损失约达 3.7 亿—4 亿美元,这单笔攻击占当月损失近 80%。纵观整个 Q1,网络钓鱼和社会工程学造成的损失超过 2.9 亿美元——超过所有其他攻击类型的总和。2026 年 Q1,每损失 1 美元于智能合约漏洞,就有近 4 美元通过人类操纵被盗走。

冒充诈骗的急剧上升,折射出攻击者的理性盘算:安全研究人员在发现 Solidity 漏洞方面日益精进,但人类始终容易被利用。加密用户掌控着价值数十万乃至数百万美元的资产,在时间压力下运作,并与可被轻松伪造的复杂界面进行交互。

Drift Protocol:长达六个月的情报渗透行动

2026 年 4 月 1 日——标志着 Q2 开始,却为整个季度的安全态势投下阴影——Drift Protocol 在迄今可能是史上最具操作复杂性的 DeFi 漏洞中损失了 2.86 亿美元

攻击者并未寻找智能合约漏洞,而是找到了更有价值的东西:信任

一个朝鲜国家关联组织以量化交易公司为掩护,花费约六个月时间潜入 Drift Protocol。在此期间,他们:

  1. 在加密会议上与 Drift 贡献者当面会谈,建立关系信誉
  2. 向 Drift Protocol 存入超过 100 万美元以建立真实参与者的合法性
  3. 接入一个生态系统金库产品,获取更近的协议技术访问权限
  4. 通过恶意 TestFlight 应用和 VSCode/Cursor 扩展漏洞攻陷开发者设备
  5. 利用被攻陷的设备获取 Drift 安全委员会五分之二的签名

拥有两个签名后,他们利用了 Solana 的持久随机数功能——一种允许预签名交易跨区块高度保持有效的合法机制,原本用于离线签名工作流的便利性。攻击者用它预存了有效的交易授权,然后在数分钟内执行:将一个毫无价值的假代币(CVT)列为抵押品,存入 5 亿个 CVT,提走包括 USDC、SOL 和 ETH 在内的 2.85 亿美元真实资产。

整个清空过程历时约 12 分钟,而准备工作耗时六个月。

这一攻击模式——耐心、基于身份、利用协议的合法功能而非漏洞——是 DPRK 不断演进的攻击手册中最高级的形式。

朝鲜的工业化加密盗窃

分析 2026 年 Q1 安全格局,无法回避一个令人不安的现实:朝鲜正在运营一个国家主导的工业规模加密盗窃项目,且正在加速。

2026 年 Q1,DPRK 关联行动造成的确认损失估计超过 3 亿美元,涵盖至少 18 次已追踪的行动。其攻击面现已扩展至:

  • 中心化交易所冷钱包供应链攻击(Bybit):攻陷签名者使用的软件,而非合约本身
  • DeFi 社会工程学(Drift):数月来以受信任参与者身份渗透协议
  • 开发者供应链(npm/PyPI 活动):以虚假招聘人员求职借口发布恶意包,攻陷开发者环境并盗取凭证
  • IT 工作者渗透:DPRK 特工以远程开发者身份嵌入加密公司,薪资通过混币器转出(OFAC 于 2026 年 3 月制裁了 6 名个人和 2 家实体)

共同主线是从技术上利用代码漏洞,转向系统性地利用人员、信任和基础设施

结构性转变:2026 年"全栈安全"的真正含义

2026 年 Q1 的数据清楚地论证:加密安全专业需要扩大其范畴。Web3 中的传统安全几乎完全专注于智能合约审计——这一专注已产生成效,链上代码确实比 2021-2022 年更安全了。

但攻击者并未放弃,而是转型了。新的攻击面包括:

云基础设施:AWS 凭证、Docker 镜像、Kubernetes Pod 密钥、S3 存储桶。Bybit 黑客正是通过 S3 上传来部署并随后覆盖恶意 JavaScript。

CI/CD 管道:对签名密钥、部署环境和生产机密拥有特权访问的构建系统。攻陷管道,即攻陷所有下游部署。

npm 和包生态系统:Lazarus 集团及相关威胁行为者持续推送与流行加密开发者库名称相似的恶意包,配置为收割 AWS 令牌、GitHub PAT、SSH 密钥和环境变量。

DNS 基础设施:2026 年多起事件涉及 DNS 劫持,将合法协议前端的用户重定向至攻击者控制的钓鱼网站。即便链上代码完美无缺,一旦 DNS 被攻陷,用户仍会损失资金。

人类身份:要求 N-of-M 签名的多签方案,安全性只与持有密钥的人等同。如果攻击者能够攻陷五名签名者中的两位——通过工作设备上的恶意软件、社会工程学或长期渗透——多签便无法提供任何防御。

这就是 2026 年"全栈安全"的含义:审计 Solidity 只是基本门槛,而非全部。

构建者应当做出的改变

2026 年 Q1 的数据指向了具体的防御建议:

将签名环境视为加固基础设施。 多签的硬件安全密钥应在专用的气隙或严格受控的设备上使用。若 Drift 安全委员会签名者的 VSCode 扩展可被攻陷以捕获签名活动,则多签的安全程度远低于表面所示。

对依赖项实施供应链管控。 用完整性哈希固定 npm 和 PyPI 包版本,在 CI 中运行依赖审计,对请求广泛环境变量访问或网络出口的包保持高度警惕。

像保护合约一样认真保护前端。 DNS 监控、CSP 头、已加载脚本的子资源完整性,以及防止未经授权覆写的 AWS S3 存储桶策略,对于持有大量用户资金的协议而言已不再是可选项。

对人类攻击面进行红队测试。 渗透测试应包括社会工程学模拟——虚假招聘人员外联、虚假紧急支持请求、虚假治理紧急情况。Drift 的攻击向量是可预见的,通过桌面演练本可被发现。

将治理身份与工作身份分离。 协议安全委员会成员应在其日常开发身份和治理签名角色之间保持严格隔离。被攻陷的工作笔记本电脑不应能够触及多签密钥。

展望未来:Web3 安全的专业化进程

2026 年 Q1 是一个强制性转折点。Web3 所需的安全行业——一个涵盖云安全、供应链卫生、人为因素红队测试和运营安全,并与智能合约审计并驾齐驱的行业——仍在建设之中。全栈 Web3 安全的人才、工具和组织结构尚处萌芽阶段。

可以确定的是,蜜罐只会越来越大。随着机构资本流入加密协议、交易所和 DeFi 市场,朝鲜等复杂攻击者可调用的资源也在同比增长。一个自 2017 年以来已估计盗取 67.5 亿美元加密货币的国家行为者,不会因为上一个目标成功而对下一个目标降低兴趣。

在下一轮周期中能够生存和繁荣的协议和基础设施提供商,将是那些将安全视为运营纪律——而非一次性审计——并将威胁模型从 EVM 延伸至用户所依赖的整个堆栈每一层的参与者。

BlockEden.xyz 为 Sui、Aptos、以太坊及 20 余条其他区块链运营企业级 RPC 节点和 API 基础设施。我们的基础设施在 DNS、云和网络层面构建了多层安全控制——正是 2026 年 Q1 最严重攻击所针对的威胁面。探索我们的 API 市场,在专为真实威胁场景设计的基础设施上构建。

Share on Twitter