网络安全、智能合约审计和最佳实践
查看所有标签
2026 年 4 月 1 日,一项运行了六个月的朝鲜情报行动从 Drift Protocol 窃取了 2.7 亿美元。六天后,Solana 基金会针对这一史上最大的 DeFi 损失采取了不同寻常的行动:宣布自己是“智能体支付(agentic payments)的领导者”,并同步推出了持续性安全计划。
这不是笔误,也不是巧合。Solana 试图同时推进两种叙事。一种是通过 STRIDE 实现防御性信誉,这是一个由基金会资助、具备 24/7 监控和正式事件响应网络的安全性制度。另一种则是进攻性的定位,即作为 AI 智能体用于资金转移的首选公链。问题在于,一个刚刚目睹 2.7 亿美元付诸东流的市场,是否会买账其中任何一个故事,更不用说两者兼顾了。
2026 年 2 月 26 日,韩国国税厅(NTS)庆祝了一次重大的执法胜利。该机构突击搜查了 124 名高净值逃税者,没收了价值约 81 亿韩元(560 万美元)的数字资产。该机构自豪地发布了一份新闻稿,其中包含了被没收的 Ledger 硬件钱包的高分辨率照片。
但有一个问题。其中一张照片展示了手写的恢复助记词,完全没有打码,像素清晰,并向全球广播。
在几个小时内,标称价值 480 万美元的 400 万枚 Pre-Retogeum (PRTG) 代币被洗劫一空。然而,大约 20 小时后,攻击者又将它们退了回来。这并非出于悔恨,而是因为该代币的日交易量仅为 332 美元,从数学上讲,变现是不可能的。韩国国税厅被这种流动性不足救了一命,而讽刺的是,正是这种流动性不足原本让这次没收在经济上变得毫无意义。
这一事件既滑稽、令人尴尬,又发人深省——它是所有这一切的缩影。它也是一个警告。随着各国政府持有的没收加密货币金额达到数十亿,执法雄心与托管能力之间的差距从未如此巨大。
韩国国税厅想要展示其执法的强硬。他们没有裁剪或模糊处理没收的 Ledger 设备,而是直接发布了突袭现场的原始照片。其中一张照片拍到了 Ledger Nano 旁边的一张纸——目标人物显然手写了备份助记词并将其保存在设备旁边。
该机构后来的道歉说明了这一点:“为了提供更生动的信息,我们没有意识到其中包含敏感信息,疏忽地提供了原始照片。” 翻译一下:新闻团队中没有人明白,Ledger 旁边的 12 个单词序列是主密钥,而不是装饰。
新闻稿发布后几小时内,一名身份不明的攻击者重构了钱包。链上取证显示了一个教科书般的流程:
因为面对这一大笔财富,他们无能为力。
PRTG(Pre-Retogeum)是那种大多数人从未听说过的代币,理由很充分。它仅在一家中心化交易所——MEXC——上市交易,24 小时交易量约为 332 美元。根据 CoinGecko 的数据,仅 59 美元的卖单就会导致价格暴跌 2%。
试图在这样的流动性下将 480 万美元变现,其数学前景是惨淡的。即使将套现过程分摊到几周内,攻击者也会:
在最初转移大约 20 小时后,攻击者放弃了。一个与“86c12”小偷钱包关联的地址将所有 400 万枚 PRTG 代币发回了原始地址。那篇新闻稿暴露了一个装满大富翁游戏纸币的保险库的主密钥。
如果被没收的是比特币、以太坊或一线稳定币,资金早就消失了。同样的运维安全(OpSec)故障如果发生在 USDT 或 ETH 上,结局将是 10 分钟的 Tornado Cash 混币,然后资产无法追回。PRTG 糟糕的市场成了意外的安全气囊。
韩国加密货币托管记录的漏洞远不止这一篇新闻稿。2021 年,警方调查人员从存放在证物库的冷钱包中丢失了 22 枚 BTC(按当前价格计算价值数百万美元)。根本原因是一样的:助记词处理不当、没有多重签名(multi-sig)政策,以及将加密货币视同于任何其他没收实物的托管链。
两个事件,相隔五年,发生在同一个国家的两个不同执法部门。这种模式是结构性的,而不仅仅是韩国国税厅新闻办倒霉的一天。
韩国并非孤例。全球执法机构现在在突击搜查中例行没收硬件钱包,但几乎没有机构发布过内部标准来规范:
大多数机构对待 Ledger 就像对待智能手机一样。贴上标签、装入袋子、归档。随着国家加密货币持有量规模达到数十亿美元,这导致了日益增长的系统性风险。
将韩国国税厅的事件与美国司法部在 2025 年 11 月没收的与 Prince 集团“杀猪盘”行动有关的 150 亿美元比特币(约 127,271 BTC)进行对比。那次收缴是美国司法部历史上规模最大的罚没行动,通过 Chainalysis 提供支持的追踪、协调国际搜查令,并立即转移到财政部控制的托管中心执行。仅 Chainalysis 一家公司就支持了数百次政府没收行动,在十年内协助保护了价值约 126 亿美元的非法加密货币。
美国政府目前在其战略比特币储备框架下持有约 198,012 BTC —— 按当前价格计算约合 183 亿美元。萨尔瓦多通过直接购买持有 7,500 BTC。不丹通过国家支持的采矿积累了约 6,000 BTC。全球各国政府现在持有的比特币总量已超过总供应量的 2.3%。
美国司法部的尖端工具与韩国国税厅未打码的 JPEG 图片之间的操作差距,不在于技术水平的高低,而在于是否有人编写了标准操作流程。许多机构仍将加密货币托管视为一种即兴发挥。
随着主权持有量的增长,这种差距变得关乎存亡。在类似美国司法部规模的行动中,一次运维安全(OpSec)故障 —— 一个未脱敏的交易哈希、一个暴露的冷钱包地址、一个轮转不当的签名人 —— 就可能导致数十亿甚至数百亿美元的流失。而比特币可没有“流动性不足”这个安全网。
机构托管行业已经解决了那些让韩国国税厅(NTS)栽跟头的难题。现代主权和企业级托管方案依赖于:
这些技术并不罕见。像 Anchorage、BitGo、Fireblocks 以及日益增多的基于 MPC 的托管服务商,都提供了现成的政府级解决方案。瓶颈不在于技术,而在于机构的纪律性。
NTS 事�件之所以显得滑稽,是因为它最终有一个好结局。但它包含了四个教训,监管机构、执法部门和加密原生机构现在就应该内化这些教训,因为现在的赌注还是以百万计,而不是数百亿。
1. 标准作业程序必须假定摄影证据会泄露。 任何包含硬件钱包的突击搜查照片都应默认进行遮掩或排除。公关团队不应是防御加密机密的最后一道防线。
2. 被扣押的加密货币必须立即轮换。 资产一旦追回,就应立即转移到使用新密钥的政府控制多签钱包中。原始硬件只是证据 —— 一旦搜查记录在案,它就不应再作为活跃的托管设备。
3. 缺乏流动性并非安全策略。 韩国之所以走运,是因为 PRTG 代币无法被大量抛售。下一次泄露的助记词可能会揭示一个装满 ETH、USDC 或 SOL 的钱包,到那时,任何市场深度都无法挽回这些资金。
4. 加密执法培训需要与证据处理培训同等的严谨性。 警员在拍摄被扣押车辆时,不会不小心将车辆识别码(VIN)和登记密钥公之于众。大多数机构目前还缺乏针对硬件钱包的同等纪律约束。
随着政府从扣押加密货币转向将其作为主权储备持有,整个生态系统 —— 不仅仅是执法部门 —— 都必须升级。税务部门、法院系统和国家财政部需要机构级的基础设施:可靠的多链数据接入以监控被扣押地址、高可用性的节点服务以提交交易,以及能够产生可信资产监管链(chain-of-custody)记录的�审计级 API。
BlockEden.xyz 提供横跨 27+ 条链的企业级区块链 API 基础设施,专为满足机构托管的合规性和可靠性需求而构建。如果你正在开发能够帮助专业托管机构避免成为下一个“反面教材”的工具,请探索我们的 API 市场。
韩国国税厅助记词泄露事件将被作为一个笑话被铭记 —— 在这个事件中,一种无人知晓的代币保护了政府免受其自身公关团队失误的影响。下一次可能就不会有这种幸运了。
随着主权比特币储备的增长,随着代币化资产向公链迁移,以及随着执法扣押变成常规项目而非职业生涯的重大突破,单次运维安全(OpSec)错误所带来的风险敞口将变得异常巨大。每一位摄影师、每一位实习生、每一位出于好意的公关官员,现在都可能成为导致九位数资金流失的潜在漏洞。
讽刺的是,加密技术本身并不是问题。Ledger 履行了职责,以太坊也履行了职责。区块链忠实地执行了将 400 万个代币转移给陌生人的指令,正如签名者所指示的那样。失败完全是人为的 —— 公关团队将 12 个单词的短语当作了照片的装饰品。
加密行业不需要更好的钱包,它需要更好的习惯。到 2026 年,政府持有的比特币将占总量的 2.3%,再加上价值数十亿美元的其他数字资产,这种在公众面前学习习惯的容错空间正在迅速关闭。
来源:
每九分钟破解一个私钥。排名前 1,000 的以太坊钱包在不到九天内被洗劫一空。破解保护着超过 1,000 亿美元链上价值的加密算法所需的量子比特数量减少了 20 倍。这些并非末日论推特串的臆测 —— 它们源自谷歌量子 AI(Google Quantum AI)于 2026 年 3 月 30 日发布的 57 页白皮书,该白皮书由以太坊基金会研究员 Justin Drake 和斯坦福大学密码学家 Dan Boneh 共同撰写。
十年来,“量子风险”一直与小行星撞击处于相同的认知范畴 —— 真实、灾难性,但足够遥远,以至于没有人需要采取行动。谷歌的这篇论文重新定位了这一威胁。它绘制了针对以太坊的五条具体攻击路径,指名道姓了钱包和合约,并向工程师提供了一个数字 —— 少于 500,000 个物理量子比特 —— 这直接对应了 IBM、谷歌以及半打资金充足的初创公司已发布的路线图。换句话说,Q-Day(量子日)刚刚收到了一个明确的日历邀请。
这篇题为《保护椭圆曲线加密货币免受量子漏洞影响》(Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities)的论文,是主要量子硬件实验室首次进行枯燥的工程化工作,将 1994 年 Shor 算法的理论攻击转化为针对椭圆曲线离散对数问题 (ECDLP) 的逐步蓝图。ECDLP 保护着比特币、以太坊以及几乎所有使用 secp256k1 或 secp256r1 签署交易的链。
有三点使得这篇论文比之前的估计更具震撼力。
首先是量子比特数。早期的学术研究认为破解 256 位 ECDLP 需要数百万个物理量子比特。谷歌的作者将其降低到不到 500,000 个 —— 由于改进了电路综合、更好的纠错开销以及更紧凑的魔法态路由,这一数字减少了 20 倍。IBM 已公开承诺到 2029 年制造出 100,000 量子比特的机器。谷歌尚未公布类似的目标,但其内部路线图的增长斜率被广泛认为与之相似。50 万个量子比特不再是一个需要虚指到 2050 年代的数字。
其次是运行时间。论文估计,一旦拥有足够性能的机器,从公钥恢复单个私钥大约需要 9 分钟的量子运行时间 —— 不是几天,也不是几小时。这个数字非常重要,因为它决定了攻击者在检测和响应之间的窗口期内可以清空多少高价值目标。
第三,也是对以太坊而言最重要的一点,作者并没有止步于“ECDSA 已被破解”。他们梳理了协议栈,并识别出五个截然不同的攻击面,且每个攻击面都列出了受害对象。
论文将以太坊的量子风险组织为五个向量,刻意避开了“所有加密货币在同一天灭亡”这种偷懒的描述。
1. 外部账户 (EOA) 泄露。 一旦以太坊地址签署了哪怕一笔交易,其公钥就会永久保留并在链上可见。量子攻击者在大约 9 分钟内推导出私钥,然后清空钱包。谷歌的分析识别了 ETH 余额前 1,000 名的钱包 —— 它们总计持有约 2,050 万枚 ETH —— 作为经济上最合理的攻击目标。以每个私钥 9 分钟的速度计算,攻击者在不到 9 天内就能清空整个名单。
2. 管理员控制的智能合约接管。 以太坊的稳定币经济和大多数生产环境中的 DeFi 协议都依赖于由 EOA 控制的多签、升级密钥和铸造者角色。论文列举了 70 多个由管理员控制的合约,包括主流稳定币背后的升级或铸造密钥。窃取这些密钥不仅是盗取余额 —— 它还能让攻击者铸造、冻结或改写合约逻辑。谷歌估计,受这些脆弱密钥影响的下行稳定币和代币化资产约为 2,000 亿美元。
3. 权益证明 (PoS) 验证者密钥泄露。 以太坊的共识层使用 BLS 签名,这些签名同样基于椭圆曲线假设,且同样会被 Shor 算法破解。原则上,恢复足够多验证者私钥的攻击者可以进行双重签名、敲定冲突区块或阻碍最终确定性。这里的风险不在于 ETH 被盗,而在于区块链本身的完整性。
4. Layer 2 结算泄露。 论文将分析扩展到了主流的 Rollup。乐观 Rollup (Optimistic rollups) 依赖于由 EOA 签署的提议者和挑战者密钥;ZK Rollup 依赖于用于排序和证明的操作员密钥。泄露这些密钥虽然不会破坏底层的有效性证明,但能让攻击者窃取排序器费用、审查退出请求,或者在最坏的情况下,卷走持有 L2 存款的桥接器资金。
5. 历史数据可用性的永久伪造。 这是密码学家认为最令人不安的路径。最初的以太坊可信设置(以及支持 EIP-4844 blobs 的 KZG 仪式)依赖于特定假设,即足够强大的量子机器可以通过公开产物重建设置秘密。其结果不是盗窃,而是获得了永久伪造历史状态证明的能力,且这些证明看起来永远有效。没有任何密钥轮换可以修复已经发布的数据。
这五条路径共同使超过 1,000 亿美元面临直接风险,如果对链完整性的信心崩溃,风险规模将呈数量级增长。
该研究论文得出了一个微妙但重要的结论:尽管两条链都使用相同的 secp256k1 曲线,但以太坊的量子风险敞口比比特币更深。
原因在于某种“反向账户抽象”。比特币的 UTXO 模型(特别是 Taproot 升级后)支持从公钥哈希派生的地址——这意味着公钥只有在转账支出时才会被披露。对于从不重复使用地址的用户来说,其暴露窗口仅限于从广播到确认之间的短短几秒钟。存储在未消费、未触碰地址中的资金在结构上是量子安全的。
以太坊则没有这种特性。外部账户(EOA)一旦签署第一笔交易,其公钥就会永久保留在链上。没有任何“新鲜地址”模式可以隐藏它。一个即便只交易过一次的钱包,也会成为一个静态目标,其脆弱性不会随时间而减弱。前 1,000 个钱包中持有的 2,050 万枚 ETH 不仅在理论上存在风险,而且已经永久地在公共账本上留下了指纹,等待着足够强大的机器来破解。
更糟糕的是,以太坊在不放弃账户的情况下无法轮换密钥。将资金发送到新地址会创建一个具有新公钥的新账户,但任何仍与旧地址关联的事物——ENS ��名称、合约权限、归属头寸、治理白名单——都不会随资金一起迁移。迁移成本不仅是移动代币的 Gas 费,还包括解绑旧地址所积累的每段关系的成本。
与谷歌的论文同步,以太坊基金会于 2026 年 3 月推出了 pq.ethereum.org,作为后量子研究、路线图、开源客户端代码库和每周开发网结果的权威中心。目前已有超过 10 个客户端团队正在运行专注于后量子原语的互操作性开发网,社区已达成共识,目标是在 2029 年之前完成 L1 协议层升级——同年也是谷歌设定将其自身身份认证服务从 ECDSA 迁移出去的期限。
路线图被分阶段安排在即将到来的四个硬分叉中,而不是一次性的“大爆炸”式分叉。大致如下:
Vitalik Buterin 在 2026 年 2 月底发出了紧迫信号,他写道:“验证者签名、数据存储、账户和证明都需要更新”——他在一句话中点名了所有四个分叉,并含蓄地承认,零星的升级将不足以应对挑战。
挑战并不在于密码学本身。美国国家标准与技术研究院(NIST)已经对 ML-KEM、ML-DSA 和 SLH-DSA 进行了标准化。挑战在于如何在不破坏成千上万个硬编码了 ECDSA 假设的 DApp,且不让钱包中数以十亿计、所有者从未迁移的沉睡 ETH 陷入困境的情况下,在一个价值超过 3,000 亿美元的实时网络中推行这些原语。
以太坊和比特币都面临着一个纯技术路线图无法解决的治理问题:那些存储在易受攻击地址中且所有者从未迁移的代币该怎么办?
以太坊基金会自己的常见问题解答(FAQ)用直白的措辞描述了这一选择:要么无所作为,要么冻结。无所作为意味着在“Q 日”(量子日),攻击者将清空每一个公钥已知的沉睡地址——包括创世时代的钱包、早期的 ICO 购买者、丢失密钥的持有者,以及 Vitalik 本人对公共物品融资的历史贡献中很大一部分资金。冻结则意味着通过社会共识采取行动,使任何在截止日期前未完成迁移的地址的取款请求失效。
比特币的 BIP 361,“后量子迁移与传统签名日落”,在三阶段框架中阐述了同�样的难题。联合作者 Ethan Heilman 公开估计,比特币全面迁移到量子抗性签名方案,从达成大致共识之日起需要七年时间——这意味着 BIP 361 需要在 2026 年实质性合并才能赶上 2033 年的期限,而要赶上 2029 年则需要更早。
这两条链都没有大规模作废代币的先例。以太坊确实在 2016 年回滚了 DAO 黑客攻击,但那是针对单一事件的撤销,而不是根据密码学姿态刻意冻结数百万个无关的钱包。这一决定将不可避免地被视为一次全民投票,测试“不可篡改性”还是“资金安全”才是区块链更深层的承诺。
2029 年的截止日期似乎还很遥远,但决定一个项目是准备就绪还是措手不及的决策,将在 2026 年和 2027 年做出。一些实际影响立即浮现。
智能合约架构师应审计 ECDSA 假设。 任何硬编码 ecrecover、嵌入不可变签名者地址或依赖 EOA 签名提案者密钥的合约都需要升级路径。今天部署的没有管理员权限的合约看起来很优雅;但在后量子时代,它们可能变得无法恢复。
托管商现在就需要开始进行密钥轮换。 管理着数十亿美元资产的托管服务商无法在一个 “Q-Day” 周末内轮换所有钱包。轮换、按风险等级隔离以及预先部署抗量子(PQ)就绪的冷存储是 2026 年要解决的问题,而不是 2028 年的问题。
跨链桥运营商面临着最迫切的紧迫性。 跨链桥将价值集中在少数多签密钥背后。�第一个具有经济理性的量子攻击不会针对随机选择的钱包 —— 它将针对生态系统中价值最高的单个密钥。跨链桥应该是第一批实施混合 PQ + ECDSA 签名的。
应用团队应跟踪 “四分叉路线图”。 后量子(PQ)序列中的每个以太坊硬分叉都将引入新的交易类型和验证语义。如果钱包、索引器、区块浏览器和节点运营商规划了升级窗口,它们将平稳降级;否则,它们将面临灾难性的崩溃。
BlockEden.xyz 在 Ethereum、Sui、Aptos 以及其他十几个链上运行生产级 RPC 和索引基础设施,并跟踪每个网络的后量子迁移路线图,让应用开发者无需操心。探索我们的 API 市场,在专为生存于未来十年加密技术转型(而不仅仅是当前阶段)而设计的基础设施上进行构建。
Google 论文最深远的贡献可能在于社会学层面,而非技术层面。十年来,“抗量子” 只是一个主要贴在没人使用的项目上的营销口号。主流公链将后量子(PQ)迁移视为下一代研究人员的问题。而来自 Google、Justin Drake 和 Dan Boneh 的这 57 页报告,在一篇出版物中彻底改变了这种姿态。
三个月内发布了三篇量子加密论文。共识已经形成:当前量子硬件与加密相关机器之间的资源差距,其缩减速度快于当前链协议与后量子就绪之间的差距。这两条曲线的交点 —— 根据预测的准确性,大约在 2029 年到 2032 年之间 —— 是加密基础设施面临的有��史以来最重要的截止日期。
那些将 2026 年视为严肃工程工作年,而非仅提供模糊保证的公链,在未来依然能够屹立不倒。而那些等到关于 “Vitalik 钱包被盗” 的头条新闻出现才行动的人,将没有时间做出反应。
2026 年 3 月 31 日,谷歌悄然发布了一篇研究论文,在密码学界引发强烈震动:破解保护比特币和以太坊安全的椭圆曲线加密,可能仅需约 50 万个物理量子比特——大约比谷歌 2019 年自己的估计少了 20 倍。在理想条件下,一台足够强大的量子计算机可以在约 9 分钟内从广播交易中破解私钥。考虑到比特币平均 10 分钟的出块间隔,这意味着攻击者在交易确认前盗取资金的概率高达 41%。
区块链面临的量子威胁已从理论走向紧迫现实。而稳定币发行商 Circle 早已预见到这一点。
想象一下,突袭一名逃税者的公寓,没收了四个硬件钱包,然后发布了一份胜利的新闻稿,展示了追回的证据——而照片中清晰可见钱包的助记词。现在想象一下,一名窃贼在几小时内搬空了钱包,为了警告又归还了代币,然后第二名窃贼在你的机构反应过来之前再次将其盗走。
这不是加密货币推特上的思想实验。这正是 2026 年 2 月下旬发生在韩国国税局(NTS)身上的真实事件——这一失误导致政府损失了价值约 480 万美元的没收 Pre-Retogeum (PRTG) 代币,并暴露了大多数政府机构在持有日益增多的没收数字资产方面是多么缺乏准备。
九分钟。这是一份 57 页的 Google 量子 AI(Google Quantum AI)论文中提到的时间窗口,该论文指出,未来的量子计算机仅需这点时间就能从已公开的公钥中逆向推导出比特币私钥——这段时间短到足以包含在单个区块确认内,长到足以改写整个 1.3 万亿美元网络的风险状况。这篇由斯坦福大学和以太坊基金会的研究人员共同撰写、发表于 2026 年 3 月 30 日的论文,不仅预测了潜在的危机,还做了一件更微妙的事:它缩小了那个关键的数字。破解 ECDSA 所需的资源比先前的估计下降了 20 倍。Google 目前内部设定的后量子迁移目标是 2029 年。
2026 年初,当一个自主 AI 交易代理从 DeFi 协议中抽走 4500 万美元时,这次攻击并未利用任何一行智能合约代码。相反,攻击者污染了 AI 代理盲目信任的预言机数据源,将代理自身的速度和自主性转化为对抗其本应保护的协议的武器。欢迎来到这个加密领域最危险的漏洞不再存在于代码中,而是在于 AI 的时代。
在2026年1月,仅仅一个月内,钓鱼攻击就从加密用户的钱包中盗取了超过3.11亿美元。当大多数受害者意识到他们的钱包已被破坏时,资金已经通过混合器和跨链桥接开始转移。多年来,执法部门一直在被动应对——在犯罪发生数月后才进行调查,最后恢复的金额少之又少。
然后,Operation Atlantic(大西洋行动)出现了。
Operation Atlantic于2026年3月16日从英国国家犯罪局(NCA)的伦敦总部正式启动,汇聚了美国特勤局、加拿大执法部门、区块链分析公司Chainalysis和TRM Labs,以及加密交易所Coinbase和Kraken,进行了一场前所未有的为期一周的集中行动。成果是:冻结1200万美元、追踪4500万美元的欺诈、确认遍布30个国家的20000个受害者钱包地址,以及在7天内破坏了超过120个诈骗域名。
这不是典型的调查。这是一个概念验证,证明了公私合作可以将加密安全从被动取证转变为实时干预。
多年来,加密货币的批评者声称其假名性使之成为犯罪分子的完美工具。他们说对了一半——而这一半如今正被用来在法庭上对付他们。当印度尼西亚当局起诉三名为叙利亚ISIS行动提供资金的被告时,定罪并非依赖窃听或线人,而是依赖钱包地址、交易哈希和链上资金流动——这些区块链数据从国内加密交易所流经境外平台,直接进入ISIS关联的筹款活动。TRM Labs提供了取证工具,印度尼西亚法院提供了裁决。区块链证据时代已经到来。