5 篇博文 含有标签「网络安全」

2025 年圣诞夜，当大多数加密货币世界都在度假时，攻击者向 Trust Wallet 的 Chrome 浏览器扩展程序推送了一个恶意更新。在 48 小时内，850 万美元从 2,520 个钱包中消失。数千名用户的助记词被悄无声息地搜集，并伪装成常规的遥测数据。但这并不是孤立事件——它是已经在加密货币开发生态系统中传播了数周的供应链攻击的顶峰。

Shai-Hulud 活动以《沙丘》（Dune）中的沙虫命名，代表了 2025 年最具侵略性的 npm 供应链攻击。它感染了超过 700 个 npm 软件包，波及 27,000 个 GitHub 仓库，并暴露了 487 个组织中约 14,000 个开发者机密。总损失超过 5800 万美元的被盗加密货币，使其成为加密货币历史上针对开发者损失最惨重的攻击之一。

供应链蠕虫的解析​

与典型的需要用户下载恶意软件的病毒不同，供应链攻击污染了开发者已经信任的工具。Shai-Hulud 活动将 npm 武器化，npm 是驱动大多数 JavaScript 开发的包管理器——几乎涵盖了所有的加密钱包、DeFi 前端和 Web3 应用程序。

这次攻击始于 2025 年 9 月的第一波浪潮，导致约 5000 万美元的加密货币被盗。但正是 11 月的“第二次降临”（The Second Coming）展示了该行动真正的复杂性。11 月 21 日至 23 日期间，攻击者攻破了包括 Zapier、ENS Domains、AsyncAPI、PostHog、Browserbase 和 Postman 在内的主要项目的开发基础设施。

其传播机制优雅而恐怖。当 Shai-Hulud 感染一个合法的 npm 软件包时，它会注入两个恶意文件——setup_bun.js 和 bun_environment.js——由预安装脚本（preinstall script）触发。与安装后才激活的传统恶意软件不同，此有效载荷在安装完成前、甚至在安装失败时也会运行。当开发者意识到出现问题时，他们的凭据已经被窃取。

该蠕虫会识别受害开发者维护的其他软件包，自动注入恶意代码，并将新的受感染版本发布到 npm 注册表中。这种自动传播机制使得恶意软件能够在没有攻击者直接干预的情况下呈指数级扩散。

从开发者机密到用户钱包​

受感染的 npm 软件包与 Trust Wallet 黑客事件之间的联系揭示了供应链攻击是如何从开发者级联到终端用户的。

Trust Wallet 的调查显示，其开发者的 GitHub 机密在 11 月的 Shai-Hulud 爆发期间泄露。这种泄露让攻击者获得了浏览器扩展程序的源代码，更关键的是，获得了 Chrome 网上应用店（Chrome Web Store）的 API 密钥。凭借这些凭据，攻击者完全绕过了 Trust Wallet 的内部发布流程。

2025 年 12 月 24 日，版本号为 2.68 的 Trust Wallet Chrome 扩展程序出现在 Chrome 网上应用店中——由攻击者发布，而非 Trust Wallet 开发者。恶意代码旨在遍历扩展程序中存储的所有钱包，并为每个钱包触发助记词请求。无论用户使用密码还是生物识别进行身份验证，他们的助记词都会被悄悄地发送到攻击者控制的服务器，并伪装成合法的分析数据。

被盗资金构成如下：约 300 万美元的比特币、超过 300 万美元的以太坊，以及少量的 Solana 和其他代币。在几天之内，攻击者开始通过中心化交易所洗钱——330 万美元流向 ChangeNOW，34 万美元流向 FixedFloat，44.7 万美元流向 KuCoin。

死人开关​

最令人不安的可能是 Shai-Hulud 恶意软件的“死人开关”（dead man's switch）机制。如果蠕虫无法通过 GitHub 或 npm 进行身份验证——即如果其传播和窃取渠道被切断——它将删除用户家目录中的所有文件。

这种破坏性功能具有多种目的。它惩罚了探测尝试，制造混乱以掩盖攻击者的行踪，并在防御者试图切断命令与控制（C2）基础设施时提供筹码。对于没有进行适当备份的开发者来说，一次失败的清理尝试可能会导致在凭据被盗之外遭受灾难性的数据丢失。

攻击者还表现出了心理上的复杂性。当 Trust Wallet 宣布发生违规事件时，同样的攻击者利用随之而来的恐慌发起了一场网络钓鱼活动，创建了虚假的 Trust Wallet 品牌网站，要求用户输入恢复助记词进行“钱包验证”。一些受害者甚至遭到了二次攻击。

内部人士的疑问​

币安（Binance）联合创始人赵长鹏（CZ）暗示，Trust Wallet 的漏洞“极有可能”是由内部人士或事先拥有部署权限的人实施的。Trust Wallet 自身的分析表明，攻击者可能在 2025 年 12 月 8 日之前就已经获得了开发者设备的控制权或获得了部署权限。

安全研究人员指出了一些暗示可能有国家级力量参与的模式。攻击时间选在圣诞夜，遵循了高级持续性威胁（APT）的常见剧本：在安全团队人员不足的节假日进行攻击。Shai-Hulud 活动的技术复杂性、规模以及资金的快速洗白，表明其背后的资源超出了典型的犯罪行动。

为什么浏览器扩展具有独特的脆弱性​

Trust Wallet 事件突显了加密货币安全模型中的一个根本性漏洞。浏览器扩展拥有极高的权限——它们可以读取和修改网页，访问本地存储，而在加密钱包的情况下，它们还掌握着价值数百万美元的密钥。

攻击面非常巨大：

• 更新机制：扩展会自动更新，一旦某个更新被攻破，就会波及所有用户。
• API 密钥安全：如果 Chrome 网上应用店的 API 密钥泄露，任何人都可以发布更新。
• 信任假设：用户认为来自官方商店的更新是安全的。
• 假期时机：假期期间安全监控减少，使得攻击者可以潜伏更长时间。

这不是加密货币用户第一次遭受浏览器扩展攻击。之前的事件包括针对 VS Code 扩展的 GlassWorm 活动和 FoxyWallet Firefox 扩展诈骗。但 Trust Wallet 的漏洞是按美元计算规模最大的，并展示了供应链泄露如何放大扩展攻击的影响。

币安的回应与 SAFU 先例​

币安（Binance）确认，受影响的 Trust Wallet 用户将通过其用户安全资产基金（SAFU）获得全额补偿。该基金成立于 2018 年交易所被黑事件后，储备了一部分交易费用，专门用于支付安全事件造成的用户损失。

赔付决定树立了一个重要的先例，也提出了一个关于责任分配的有趣问题。Trust Wallet 被攻破并非由于在受影响窗口期打开钱包的用户的直接过错。但根本原因是供应链攻击破坏了开发人员的基础设施，而这反过来又是由 npm 中更广泛的生态系统漏洞造成的。

Trust Wallet 的即时响应包括：使所有发布 API 过期以在两周内阻止新版本发布；向注册商举报恶意的资产窃取域名（导致其迅速被封禁）；以及推送干净的 2.69 版本。建议在 12 月 24 日至 26 日期间解锁过扩展的用户立即将资金迁移到新钱包。

给加密生态系统的启示​

Shai-Hulud 活动暴露了远超出 Trust Wallet 范围的系统性漏洞：

对开发者而言​

显式固定依赖项。 preinstall 脚本漏洞之所以有效，是因为 npm install 可以运行任意代码。将其固定到已知的干净版本可以防止自动更新引入被攻破的软件包。

将秘密视为已泄露。 任何在 2024 年 11 月 21 日至 2025 年 12 月之间拉取过 npm 包的项目都应假设凭据已暴露。这意味着需要撤销并重新生成 npm 令牌、GitHub PATs、SSH 密钥和云提供商凭据。

实施适当的秘密管理。 用于应用商店发布等关键基础设施的 API 密钥绝不应存储在版本控制系统中，即使在私有存储库中也是如此。使用硬件安全模块（HSM）或专用的秘密管理服务。

强制执行抗钓鱼的 MFA。 标准的双因素身份验证可以被复杂的攻击者绕过。像 YubiKeys 这样的硬件密钥为开发人员和 CI/CD 账户提供了更强的保护。

对用户而言​

多样化钱包基础设施。 不要将所有资金都放在浏览器扩展中。硬件钱包提供与软件漏洞的隔离——它们可以签署交易，而无需向可能被攻破的浏览器泄露助记词。

假设更新可能是恶意的。 让软件变得便捷的自动更新模型也使其变得脆弱。考虑禁用安全关键型扩展的自动更新并手动验证新版本。

监控钱包活动。 对异常交易进行警报的服务可以提供泄露的早期预警，在攻击者耗尽整个钱包之前限制损失。

对行业而言​

加强 npm 生态系统。 npm 注册表是 Web3 开发的关键基础设施，但它缺乏许多可以防止蠕虫式传播的安全功能。强制性的代码签名、可重复构建以及包更新的异常检测可以显著提高攻击者的门槛。

重新思考浏览器扩展安全。 现有的模型——扩展自动更新并拥有广泛的权限——在持有大额资产的安全要求面前，从根本上是不兼容的。沙箱执行环境、带有用户审核的延迟更新以及减少权限可能会有所帮助。

协调事件响应。 Shai-Hulud 活动影响了加密生态系统中的数百个项目。更好的信息共享和协调响应可以在识别出受损软件包时限制损害。

加密货币供应链安全的未来​

加密货币行业历来将安全工作的重点放在智能合约审计、交易所冷存储和面向用户的防钓鱼保护上。Shai-Hulud 活动证明，最危险的攻击可能来自被攻破的开发人员工具——这些基础设施加密用户从未直接与之交互，但却是他们使用的每个应用程序的基础。

随着 Web3 应用程序变得越来越复杂，它们的依赖图也变得越来越庞大。每个 npm 包、每个 GitHub action、每个 CI/CD 集成都代表了一个潜在的攻击向量。行业对 Shai-Hulud 的反应将决定这会成为一次性的警钟，还是加密基础设施供应链攻击时代的开始。

目前，攻击者的身份尚未确定。大约 280 万美元的 Trust Wallet 被盗资金仍留在攻击者钱包中，其余资金已通过中心化交易所和跨链桥洗白。更广泛的 Shai-Hulud 活动早期窃取的 5,000 多万美元资金已大部分消失在区块链的伪匿名深处。

沙虫（Sandworm）已经深深钻入了加密货币的基石。要将其根除，需要重新思考该行业自诞生之初就习以为常的安全假设。

---

构建安全的 Web3 应用程序需要强大的基础设施。BlockEden.xyz 提供企业级 RPC 节点和 API，内置监控和异常检测功能，帮助开发人员在影响用户之前识别异常活动。探索我们的 API 市场，在注重安全的基础上进行构建。

2025 年，个人钱包被盗事件激增至 15.8 万起，影响了 8 万名唯一的受害者，仅个人钱包就损失了 7.13 亿美元。这不仅仅是交易所黑客攻击或协议漏洞——而是普通加密货币用户的积蓄被攻击者洗劫，而这些攻击者的手段早已进化到远超简单的钓鱼邮件。个人钱包被盗目前占所有被盗加密货币总价值的 37%，而 2022 年这一比例仅为 7.3%。传递出的信息非常明确：如果你持有加密货币，你就是目标，昨天的保护策略已经不再足够。

仅在 2025 年上半年，攻击者就从加密协议中提取了超过 23 亿美元——超过了 2024 年全年的总和。仅访问控制漏洞就造成了其中 16 亿美元的惨剧。2025 年 2 月发生的 Bybit 黑客攻击是一场损失达 14 亿美元的供应链攻击，它证明了即使是最大的交易所也依然脆弱。随着我们进入 2026 年，智能合约审计行业正面临其最关键的时刻：要么进化，要么眼睁睁看着数百亿美元继续消失在攻击者的钱包中。

2025 年 2 月 21 日，朝鲜黑客在大约 30 分钟内从总部位于迪拜的交易所 Bybit 窃取了 15 亿美元的加密货币。这不仅是历史上最大的加密货币劫案——如果 Bybit 是一家银行，它将被吉尼斯世界纪录列为有史以来最大的银行抢劫案。

此次攻击并非利用了智能合约漏洞或暴力破解私钥。相反，黑客入侵了一家第三方钱包供应商的一名开发人员的笔记本电脑，耐心等待了数周，并在 Bybit 员工批准看起来像是常规内部转账的操作时果断出击。当人们意识到出现问题时，500,000 ETH 已经消失在由朝鲜 Lazarus Group 控制的迷宫般的钱包中。

这是关于它是如何发生、为什么重要，以及它揭示了 2025 年加密货币安全状况的故事。

攻击过程：一场耐心与精准的杰作​

Bybit 黑客攻击并不是一次简单的抢劫，而是一场持续数周的精密手术式行动。

第一阶段：入侵开发人员​

2025 年 2 月 4 日，Safe{Wallet}（Bybit 用来保护大额转账的广泛使用的多签名钱包平台）的一名开发人员下载了一个看似合法的名为 “MC-Based-Stock-Invest-Simulator-main” 的 Docker 项目。该文件很可能是通过社交工程攻击发送的，可能伪装成工作机会或投资工具。

恶意的 Docker 容器立即建立了与攻击者控制的服务器的连接。随后，黑客从开发人员的工作站中提取了 AWS 会话令牌——这些是授予 Safe{Wallet} 云基础设施访问权限的临时凭据。

凭借这些令牌，攻击者完全绕过了多因素身份验证。他们现在掌握了通往 Safe{Wallet} 王国的钥匙。

第二阶段：潜伏的代码​

攻击者并未立即采取行动，而是在 Safe{Wallet} 的 Web 界面中注入了隐蔽的 JavaScript 代码。这段代码是专门为 Bybit 设计的——它会一直处于潜伏状态，直到检测到 Bybit 员工打开了他们的 Safe 账户并准备授权一笔交易。

这种复杂程度令人惊叹。对于其他所有用户，整个 Safe{Wallet} 应用程序运行正常。只有 Bybit 成了目标。

第三阶段：大劫案​

2025 年 2 月 21 日，Bybit 员工发起了一项本应是常规的从冷钱包（安全、离线存储）到温钱包（用于活跃交易）的转账。这需要授权人员的多重签名——这是一种标准的安全实践，称为多签（multisig）。

当签名者打开 Safe{Wallet} 批准交易时，界面显示了看似正确的接收地址。但恶意代码已经替换了不同的指令。员工在不知情的情况下批准了一项清空 Bybit 整个冷钱包的交易。

几分钟内，500,000 ETH（价值约 15 亿美元）流向了攻击者控制的地址。

技术漏洞：Delegatecall​

关键漏洞在于以太坊的 delegatecall 函数，该函数允许智能合约在自己的存储上下文中执行另一个合约的代码。攻击者诱使 Bybit 的签名者将他们的钱包合约逻辑更改为恶意版本，从而有效地授予了黑客完全控制权。

这不仅仅是以太坊或 Safe{Wallet} 核心协议中的漏洞。这是一场针对人为层面的攻击——即信任的员工验证和批准交易的时刻。

朝鲜 Lazarus Group：世界上获利最丰的黑客​

攻击发生后的 24 小时内，区块链调查员 ZachXBT 向 Arkham Intelligence 提交了证据，明确将此次攻击与朝鲜的 Lazarus Group 联系起来。联邦调查局（FBI）于 2025 年 2 月 26 日确认了这一归属。

Lazarus Group（也称为 TraderTraitor 和 APT38）在朝鲜侦察总局下属运作。它不是一个为了个人利益而谋利的犯罪团伙。这是一个由国家资助的行动，其所得用于资助朝鲜的核武器和弹道导弹计划。

数据令人震惊：

• 仅 2025 年：朝鲜黑客窃取了 20.2 亿美元的加密货币
• Bybit 的份额：15 亿美元（占朝鲜 2025 年从单一攻击中获利总额的 74%）
• 自 2017 年以来：朝鲜已窃取了超过 67.5 亿美元的加密资产
• 2025 年 vs 2024 年：被盗价值同比增长 51%

朝鲜占 2025 年全球所有被盗加密货币的 59%，以及所有交易所入侵事件的 76%。没有其他威胁行为者能与之相提并论。

加密货币窃取的产业化​

让朝鲜与众不同的不仅是规模，还有其行动的复杂程度。

社交工程胜过技术漏洞​

2025 年的大多数重大攻击都是通过社交工程而非技术漏洞实施的。这代表了一个根本性的转变。黑客不再主要寻找智能合约漏洞或加密弱点。他们瞄准的是人。

Lazarus Group 的特工已经以 IT 工作者的身份潜入加密货币公司。他们冒充高管。他们向开发人员发送包含恶意软件的工作邀请。Bybit 的攻击始于一名开发人员下载了一个虚假的股票交易模拟器——这是一个典型的社交工程媒介。

中国洗钱网络​

窃取加密货币仅仅是挑战的一半。在不被抓获的情况下将其转换为可用资金同样复杂。

朝鲜并没有直接变现，而是将洗钱业务外包给了调查人员所称的 “中国洗钱网络” (Chinese Laundromat) —— 一个由地下钱庄、OTC 经纪人和基于贸易的洗钱中介组成的庞大网络。这些角色跨链、跨司法管辖区和跨支付渠道清洗被盗资产。

到 2025 年 3 月 20 日 —— 即 Bybit 被黑事件发生不到一个月后 —— 首席执行官周本 (Ben Zhou) 报告称，黑客已经通过多个中介钱包、去中心化交易所和跨链桥，将 86.29% 的被盗 ETH 转换为比特币。重大盗窃案发生后为期 45 天的洗钱周期已成为一种可预测的模式。

尽管付出了这些努力，周本指出 88.87% 的被盗资产仍可追溯。但 “可追溯” 并不意味着 “可追回”。资金流经的司法管辖区与美国或国际执法部门没有合作关系。

Bybit 的应对：火线下的危机管理​

在发现漏洞后的 30 分钟内，首席执行官周本接管了指挥权，并开始在 X (前 Twitter) 上提供实时更新。他的信息非常直白：“即使这笔黑客损失无法追回，Bybit 仍具有偿付能力，所有客户资产均有 1:1 准备金支持，我们可以弥补损失。”

该交易所在 12 小时内处理了超过 350,000 份提币请求 —— 向用户发出信号，尽管损失惨重，业务仍将正常运行。

紧急融资​

在 72 小时内，Bybit 通过从 Galaxy Digital、FalconX 和 Wintermute 等合作伙伴处获得 447,000 ETH 的紧急融资，补充了其储备。Bitget 借出了 40,000 ETH 以确保提币不间断 —— Bybit 在三天内偿还了这笔借款。

网络安全公司 Hacken 进行了储备证明审计，确认 Bybit 的主要资产拥有超过 100% 的抵押支持。对于这种规模的危机，这种透明度是前所未有的。

赏金计划​

周本宣布 “向 Lazarus 宣战”，并启动了一项全球赏金计划，为导致资产冻结的信息提供高达 10% 的奖励。到年底，Bybit 已向帮助追踪或追回资金的贡献者支付了 218 万美元的 USDT。

市场的裁决​

到 2025 年底，Bybit 全球用户数突破 8000 万，日交易量达到 71 亿美元，在加密货币现货交易所中排名第 5。这次危机应对已成为如何从灾难性黑客攻击中幸存下来的案例研究。

2025 年：加密货币盗窃额达到 34 亿美元的一年​

Bybit 黑客攻击占据了头条新闻，但这只是更大模式的一部分。2025 年加密货币盗窃总额达到 34 亿美元 —— 创下新纪录，且为连续第三年增长。

关键统计数据：

• 2023 年：被盗 20 亿美元
• 2024 年：被盗 22 亿美元
• 2025 年：被盗 34 亿美元

朝鲜的份额从大约一半增长到所有加密货币盗窃案的近 60%。朝鲜民主主义人民共和国 (DPRK) 以更少的事件实现了更大规模的盗窃，展示了不断提高的效率和复杂性。

经验教训：安全防线在哪里失守​

Bybit 黑客攻击暴露了远远超出单一交易所的关键漏洞。

第三方风险关乎生存​

Bybit 本身并没有发生安全故障。Safe{Wallet} 出了问题。但 Bybit 承担了后果。

加密行业构建了复杂的依赖链，交易所依赖钱包提供商，钱包提供商依赖云基础设施，而云基础设施依赖于个人开发者的工作站。这条链条上任何一个环节的妥协都可能导致灾难性的连锁反应。

冷存储已不足够​

长期以来，行业一直将冷钱包视为安全的金标准。但 Bybit 的资金在被盗时正处于冷存储中。漏洞出现在移动资金的过程中 —— 即多重签名旨在保护的人工审批步骤。

当转账变得常规化时，签名者会产生一种虚假的安全感，将审批视为形式，而不是关键的安全决策。Bybit 的攻击正是利用了这种行为模式。

UI 是单点故障点​

多重签名安全假设签名者可以验证他们正在批准的内容。但如果显示交易详情的界面被篡改，验证就变得毫无意义。攻击者向签名者展示了一套内容，却执行了另一套操作。

预签名模拟 —— 允许员工在批准前预览交易的实际目的地 —— 本可以防止这种攻击。针对大额提币的延迟处理也是如此，这能为额外审查争取时间。

社会工程学击败技术安全​

你可以拥有世界上最复杂的密码学安全系统，但一个员工下载了错误的文件就可以绕过这一切。加密货币安全的薄弱环节日益趋向于人为因素，而非技术因素。

监管与行业影响​

Bybit 黑客攻击已经在重塑监管格局。

预计对以下方面的强制性要求：

• 用于密钥管理的硬件安全模块 (HSM)
• 实时交易监控和异常检测
• 定期的第三方安全审计
• 增强的 AML (反洗钱) 框架和大额转账的交易延迟

安全和合规正在成为市场准入的门槛。项目项目若无法证明其拥有强大的密钥管理、权限设计和可靠的安全框架，将发现自己与银行合作伙伴和机构用户隔绝。

对行业的意义​

Bybit 遭黑客攻击揭示了一个令人不安的事实：加密货币的安全模型仅与其最薄弱的运营环节一样强大。

整个行业在密码学安全方面投入了巨资——零知识证明、阈值签名、安全飞地（Secure Enclaves）。但如果攻击者能够诱骗人类批准恶意交易，那么最复杂的密码学也无济于事。

对于交易所来说，这一信息很明确：安全创新必须超越技术本身，涵盖运营流程、第三方风险管理和持续的员工培训。定期审计、协作式威胁情报共享和应急响应计划不再是可选项。

对于用户来说，教训同样深刻：即使是拥有最先进安全措施的大型交易所也可能被攻破。自托管、硬件钱包和分布式资产存储仍然是长期来看最安全的策略——即使它们不太方便。

结论​

朝鲜的 Lazarus Group 已经将加密货币盗窃工业化。自 2017 年以来，他们已窃取了超过 67.5 亿美元，而 2025 年是他们迄今为止最成功的一年。仅 Bybit 遭黑客攻击这一项——单次行动就获利 15 亿美元——就展示了足以让任何情报机构垂涎的能力。

加密行业正处于一场与国家支持的黑客的军备竞赛中，这些黑客拥有无限的耐心、尖端的技术能力，且无惧后果。Bybit 攻击之所以成功，并非因为任何新颖的漏洞利用，而是因为攻击者明白人，而非代码，才是最薄弱的环节。

在该行业以对待密码学安全同样的严谨态度对待运营安全之前，此类攻击仍将继续。问题不在于是否会再次发生十亿美元级别的黑客攻击，而在于何时发生，以及目标是否能像 Bybit 那样有效地做出反应。

---

本文仅用于教育目的，不应被视为财务建议。在与加密货币交易所和钱包互动时，请务必自行开展研究并优先考虑安全性。

在 2023 年最为复杂的网络攻击之一中，基于 LayerZero 的去中心化跨链借贷协议 Radiant Capital 因黑客攻击损失约 5000 万美元。此次攻击的复杂性和精准度揭示了国家支持的朝鲜黑客的高级能力，突破了人们对加密安全漏洞的想象边界。

完美的社会工程攻击​

2023 年 9 月 11 日，Radiant Capital 的一名开发者收到一条看似无害的 Telegram 消息。发送者冒充前承包商，自称已转行做智能合约审计，并希望获得项目报告的反馈。这类请求在加密开发的远程工作文化中屡见不鲜，因而成为极具欺骗性的社会工程手段。

攻击者进一步制作了一个高度仿真的假网站，模仿所谓承包商的合法域名，为其欺骗行为增添了可信度。

特洛伊木马​

当开发者下载并解压文件时，文件看起来是普通的 PDF 文档。然而，实际文件是一个名为 INLETDRIFT 的恶意可执行文件，伪装成 PDF 图标。打开后，它在 macOS 系统上悄悄安装后门，并与攻击者的指挥服务器 (atokyonews[.]com) 建立通信。

情况进一步恶化：受感染的开发者在寻求反馈时，将恶意文件分享给其他团队成员，无意中在组织内部传播了恶意软件。

高级的中间人攻击​

后门植入后，黑客发起了精准的 “诱饵‑换位” 攻击。他们拦截了团队成员使用 Gnosis Safe 多签钱包时的交易数据。虽然交易在网页界面上显示正常，但当交易数据传递到 Ledger 硬件钱包进行签名时，恶意软件已将交易内容替换。

由于 Safe 多签交易采用盲签机制，团队成员无法察觉自己实际上在签署 transferOwnership() 函数调用，这将借贷池的控制权交给了攻击者。于是黑客成功提取了已授权给协议合约的用户资金。

快速清除痕迹​

盗窃发生后，攻击者展现出卓越的作战安全性。仅在三分钟内，他们便删除了所有后门和浏览器扩展，彻底抹去痕迹。

行业关键教训​

1. 永不轻信文件下载：团队应统一使用在线文档工具（如 Google Docs、Notion），避免下载文件。例如，OneKey 的招聘流程只接受 Google Docs 链接，明确拒绝打开其他文件或链接。
2. 前端安全至关重要：本次事件凸显攻击者如何轻易在前端伪造交易信息，使用户在不知情的情况下签署恶意交易。
3. 盲签风险：硬件钱包往往只展示简化的交易摘要，导致用户难以验证复杂智能合约交互的真实意图。
4. DeFi 协议安全：处理大额资本的项目应实现时间锁机制和完善的治理流程，为发现并响应可疑活动提供缓冲期，防止资金被快速转移。

Radiant Capital 的被攻击事件提醒我们，即使使用硬件钱包、交易模拟工具以及行业最佳实践，仍然可能被高度成熟的攻击者突破安全防线。它强调了在加密安全领域保持持续警惕和不断演进的必要性。

随着行业的成熟，我们必须从这些案例中汲取经验，构建更为坚固的安全框架，以抵御日益复杂的攻击向量。DeFi 的未来取决于此。