据 Web3 网路安全公司 CertiK 的最新统计数据显示,2025 年至今,加密货币骇客已对行业造成高达 21 亿美元的损失,已经逼近 2024 年的 23 亿美元。同时值得注意的是,骇客的攻击策略正在改变:过去,骇客主要针对智能合约和区块链基础设施的漏洞下手,但如今他们更专注于利用人类行为的弱点犯罪。
(前情提要:ZachXBT:币托BitoPro疑在5月8日遭骇客攻击损失1150万美元)
尽管加密货币骇客攻击已经是老生常谈的话题,但 Web3 网路安全公司 CertiK 的最新统计数据显示,2025 年至今,加密货币骇客已对行业造成高达 21 亿美元的损失,已经逼近 2024 年的 23 亿美元。
同时,其中大部分窃案源于钱包泄露和钓鱼攻击。CertiK 共同创办人 Ronghui Gu 也表示,加密货币骇客的攻击策略正在改变:过去,骇客主要针对智能合约和区块链基础设施的漏洞下手,但如今他们更专注于利用人类行为的弱点犯罪。Ronghui Gu 指出:
这 21 亿美元的损失大多数是由钱包泄露、密钥管理不当和操作问题引起的。
如何在 2025 年保护你的加密资产?
在骇客攻击日益猖獗的背景下,CertiK 对此在一份报告中强调,随著钓鱼攻击的增加,所有 Web3 参与者都应学习如何保护自己的加密货币。以下则是几个实用的防护建议:
避免钓鱼攻击
钓鱼攻击已不再局限于可疑的电子邮件。骇客现在正使用更精密的技术来欺骗 Web3 用户,包括:
- 鱼叉式钓鱼(Spear Phishing):骇客冒充可信任的个人或实体,诱骗用户泄露敏感资讯或授权非法存取。
- 去中心化应用(DApp)钓鱼:骇客创建假的去中心化应用(DApps),诱骗用户连接到钱包,导致资产被盗。
- 社交帐户泄露:骇客入侵 Web3 影响者或组织的社交媒体帐户,推广诈骗连结或假赠品。
为防范这些攻击,务必在交易前使用 etherscan、bscscan 或 solscan 等平台验证网址和智能合约的真实性。切勿批准你未主动发起的交易,并在确认交易前再次检查。如对已授权的 DApp 权限有疑虑,可使用 revoke.cash 撤销权限。最后,永远不要点击私人讯息中的连结,并检查可疑网址、假 SSL 认证或诈骗连结。
使用冷钱包
冷钱包是一种离线储存私钥的实体设备,能在不暴露私钥的情况下签署交易,与线上热钱包相比,远离远端攻击的风险。冷钱包适合长期储存或不常使用的资产,能有效降低依赖第三方平台的风险。然而,单靠冷钱包并不够,建议搭配多重签名认证或双重认证(2FA)以增加安全层级。
在社交媒体上保持谨慎
社交媒体是骇客的温床,他们常冒充知名人士或创建假帐户,推广假赠品或发送恶意连结,诱导用户快速行动。Telegram 和 Discord 上的诈骗群组也日益增加,模仿官方项目频道散布虚假资讯。为保护自己,建议关闭陌生人的私人讯息功能,仅追踪经过验证的帐户,并以官方网站的公告为准。切勿在社交媒体上分享钱包相关的萤幕截圖或个人资讯,以免成为钓鱼攻击的目标。
自我教育
用户需不断加强资产保护意识,一方面,可以通过学习各种骇客入侵案例,避免自己陷入同样的骗局;另一方面,则可以加强学习资产保护方法,以防给骇客可乘之机。