70 篇博文 含有标签「安全」

每个以太坊钱包、验证者签名和零知识证明都建立在同一个数学假设之上：对于任何计算机来说，分解大数和求解离散对数在实践中都是极其困难的。量子计算机最终将打破这一假设。当这一天到来时，按价值计算，大约 25% 的比特币——以及相当比例的以太坊——可能会在一个下午内暴露在风险之中。

以太坊基金会并没有坐等那个下午的到来。2026 年 3 月 25 日，它推出了 pq.ethereum.org，这是一个专门的后量子安全中心，将多年的研究整合为一个单一的、可操作的路线图。超过 10 个客户端团队已经在运行每周一次的互联互通开发网（devnets），核心第 1 层（Layer 1）升级的目标日期定为 2029 年。

这是任何去中心化网络尝试过的最雄心勃勃的密码学迁移——而且它已经在进行中。

加密货币历史上最昂贵的代码行并不是一个漏洞，而是一个钓鱼链接。

2025 年 2 月，Safe{Wallet} 的一名开发人员点击了一条看似常规的消息。几小时内，北朝鲜特工就劫持了 AWS 会话令牌（session tokens），绕过了多重身份验证（MFA），并从 Bybit 盗取了 15 亿美元 —— 这是加密货币历史上最大的一桩窃案。没有智能合约漏洞被利用，没有链上逻辑失效。代码没问题，出问题的是人。

TRM Labs 的《2026 年加密货币犯罪报告》证实了这次劫持所预示的趋势：智能合约漏洞利用作为加密货币主要威胁向量的时代已经结束。对手已经“向技术栈上层”转移，放弃了寻找新颖的代码漏洞，转而攻击围绕在安全协议周围的操作基础设施 —— 包括私钥、钱包、签名机和云控制平面。

如果你能证明自己年收入超过 100,000 美元、持有有效护照或拥有 800 分的 FICO 信用评分，而无需出示任何文件，那会怎样？这就是 zkTLS 的承诺。到 2026 年，它正迅速从密码学理论转向生产级基础设施。

零知识传输层安全协议 (zkTLS) 扩展了几乎保护你访问的所有网站的加密协议。zkTLS 不仅仅是保护传输中的数据，它还生成数学证明，证明特定数据来自经过验证的源，而绝不暴露底层信息。其结果是建立了一座桥梁，连接了被封锁的 Web2 数据宝库与可组合、无许可的 Web3 世界。

一个缺失的权限检查。十七天未被察觉。七十八个蓝筹 NFT——包括 Art Blocks、Doodles 和 Beeple 的作品——从从未发起过交易的钱包中被抽走。2026 年 3 月 9 日发生的 Gondi 漏洞攻击是一场关于“便利功能”如何演变为攻击面的典型案例，也揭示了为什么 NFT 借贷领域面临着同质化代币 DeFi 从未遇到过的安全挑战。

2026 年 3 月 12 日，一笔以太坊交易将 5,040 万美元的 USDT 变成了 327 个 AAVE 代币，价值仅约 3.6 万美元。这次损失并非由黑客攻击、漏洞利用或智能合约漏洞引起。所有涉及的协议——Aave、CoW Swap、SushiSwap——都完全按照设计运行。用户在移动设备上确认了 99.9% 的价格影响警告，勾选了一个复选框，然后在不到 30 秒的时间里眼睁睁地看着近 5,000 万美元蒸发到了 MEV 机器人手中。

这次事件是 DeFi 历史上最昂贵的 UX（用户体验）失败，它迫使人们面对一个令人不安的问题：如果“按设计运行”的无许可系统可以摧毁这么多价值，那么谁该负责阻止它？

8 wei。这大约是 0.000000000000000008 个代币 —— 这个数量微小到几乎没有实际的美元价值。然而在 2025 年 11 月 3 日，一名攻击者利用这种规模的舍入错误（rounding errors），窃取了价值 1.28 亿美元的资产，在不到 30 分钟的时间内抽干了 9 条区块链上 Balancer 的 Composable Stable Pools。

Balancer V2 漏洞利用事件现已成为历史上规模最大的单漏洞、多链 DeFi 攻击事件。它在一夜之间抹去了 Balancer 52% 的总锁仓量（TVL），该代码曾通过了行业顶尖公司的十多次安全审计，并迫使一条链 —— Berachain —— 执行紧急硬分叉以追回资金。漏洞究竟是什么？仅仅是一行代码的舍入方向错误。

耗时不到一个小时。2026 年 1 月 31 日，一名攻击者发现 CrossCurve 跨链桥基础设施上的一个智能合约函数缺少关键的验证检查，并在任何人做出反应之前，系统地从 Ethereum、Arbitrum 和其他网络中抽走了 300 万美元。没有复杂的零日漏洞。没有内部密钥泄露。仅仅是一条伪造的消息和一个任何人都可以在区块链上发起的函数调用。

CrossCurve 事件是一个严酷的提醒，跨链桥仍然是去中心化金融中最危险的攻击面——即使是拥有多层安全架构的协议，在单个合约出现漏洞时也会崩溃。

自主交易代币、平衡 DeFi 仓位并支付自身计算费用的 AI 代理听起来极具革命性——直到其中一个被提示词注入（prompt-injected），将你的毕生积蓄发送给攻击者。Google Cloud 最新发布的 MCP Web3 安全框架正致力于解决这一噩梦，它为与区块链交互的 Model Context Protocol（模型上下文协议）代理设定了企业级安全蓝图。

以下是该框架的建议、其重要性，以及它与 Coinbase、Ledger 和新兴的 x402 支付标准等竞争方案的对比。

一项安全审计在几个月前就指出了确切的攻击向量。团队驳回了它。周日，一名攻击者带走了 370 万美元。

Venus Protocol 是 BNB Chain 上占据主导地位的借贷平台，其总锁定价值 (TVL) 约为 14.7 亿美元。2026 年 3 月 15 日，该平台遭遇了毁灭性的价格操纵攻击。攻击者针对的是去中心化交易所 Thena 的原生代币 THE —— 通过精心策划的存款、借贷和购买循环，将其价格从 0.27 美元推高至近 5 美元。结果：超过 370 万美元的 BTC、CAKE、USDC 和 BNB 被抽走，其中约 215 万美元作为无法收回的坏账持续存在。

这次攻击之所以引人注目，不仅在于其规模，还在于其背后的耐心 —— 以及该漏洞一直隐藏在眼皮底下的事实。