关键要点:
2025年上半年被盗金额超过240亿美元,已超越2024年全年总额。
日常陷阱如网络钓鱼、有害授权和假“支持”造成的损害超过复杂的漏洞利用。
强大的双重身份验证、谨慎签名、冷热钱包分离和清洁设备可显著降低风险。
拥有回暖计划——包括撤销工具、支持联系人和报告门户——可以将错误转变为挫折而非灾难。
据安全公司记录,2025年上半年加密货币黑客事件持续增加,被盗金额超24亿,涉及300余起事件,已超过2024年全年总额。
据相关调查,该重大事件为朝鲜团体所为的Bybit盗窃案,推高了整体数据,但不应成为唯一关注点。
绝大多数日常损失仍源于简单陷阱:钓鱼链接、恶意钱包授权、SIM卡交换和虚假“客服”账号。
值得庆幸的是,普通用户无需成为网络安全专家,也能有效提升安全性。几个核心习惯(只需几分钟即可完成设置)即可显著降低风险。
以下是2025年最值得关注的七大安全习惯。
1. 放弃短信:在各处使用抗钓鱼的双重身份验证
如果你仍通过短信验证码保护账户,安全风险极高。
SIM卡交换攻击依旧是犯罪分子盗取钱包的常见手段,检方不断查扣与此相关的数百万资产。
更安全的选择是采用抗钓鱼双重身份验证(2FA,双重身份验证),如硬件安全密钥或平台通行密钥。
优先保护最关键的登录入口:邮箱、交易所和密码管理器。
据美国网络安全机构如网络安全与基础设施安全局强调,此举能阻止钓鱼和“推送疲劳”诈骗,从而绕过较弱的多重身份验证(MFA,多因素认证)。
建议使用长且独特的密码短语(长度比复杂度更重要)。将备用验证码离线保存,并在交易所中设置提币白名单,仅允许资金转至你控制的地址。
值得注意的是,2025年上半年针对加密用户的钓鱼攻击增长了40%,虚假交易所网站成为主要渠道。
2. 签名安全:防止资金被盗和恶意授权
大多数人损失资金并非因高端漏洞,而是一次错误签名。
钱包盗取者诱使你授予无限权限或批准欺骗性交易。例如,“setApprovalForAll”(即设置全部授权)、“Permit/Permit2”(许可/许可2)或无限“approve”。一旦签名,黑客可以反复转走资金,无需再次获得授权。
最佳防御是放慢操作速度:仔细阅读每个签名请求,尤其是上述情况。
尝试新去中心化应用(DApp)时,可以考虑用临时钱包进行铸造或高风险操作,主资产应存放于独立保险库。定期用Revoke.cash等工具撤销未使用的授权,操作简单且只需少量手续费。
据研究人员追踪,盗取者导致的盗窃案件急剧增加,尤其是在移动端。良好签名习惯能有效阻断风险链条。
3. 热钱包与冷钱包:分离支出与储蓄
管理钱包的方式应当像管理银行账户一样。
热钱包如同支票账户——适合日常消费和应用互动。
硬件钱包或多重签名钱包则是保险库——专为长期安全存储设计。
将私钥离线存储几乎能消除所有恶意软件和危险网站威胁。
长期储蓄时,请将助记词写在纸张或钢板上:切勿存于手机、电脑或云端。
在转入大额资金前,用少量资金测试恢复流程,确保安全。如有能力管理更高安全性,可考虑添加BIP-39密码,但丢失密码即永久失去访问权限。
对于大额资产或多人管理的资金池,多重签名钱包可要求两到三台独立设备共同签名才能批准交易,大幅提升安全性。
值得注意的是,2024年私钥泄露占所有加密资产盗窃案的43.8%。
4. 设备与浏览器安全
设备配置与钱包安全同样重要。
系统和应用更新可修复攻击者利用的漏洞,请为操作系统、浏览器和钱包应用开启自动更新,并按需重启。
尽量减少浏览器插件数量——多起重大盗窃事件均因插件被劫持或恶意插件导致。专用浏览器或独立浏览器配置用于加密操作,有助于防止cookies、会话和登录信息泄露到日常浏览环境。
硬件钱包用户应默认关闭盲签功能,因为该功能会隐藏交易详情,一旦被欺骗可能带来不必要的风险。
此外,尽量在干净的桌面设备上处理敏感操作,避免使用安装大量应用的手机。力求最简洁、最新的设备配置,最大程度减少攻击面。
5. 发送前核实:地址、网络、合约
最容易损失加密资产的方法就是转错地址。发送前务必核对收款地址和网络。
首次转账建议先小额测试(多付点手续费可换来安心)。如涉及代币或非同质化代币(NFT),请通过项目官方页面、CoinGecko等权威聚合器及Etherscan等区块浏览器核实合约。
与任何合约互动前,优先查验代码或所有权认证标识。切勿手动输入钱包地址——始终复制粘贴,并核对首尾字符,防止剪贴板被篡改。避免直接从交易历史中复制地址,因尘埃攻击或伪造记录可能诱使你重复使用被攻陷地址。
对“空投领取”类网站要格外警惕,尤其是要求异常授权或跨链操作时。如有疑虑,暂停并通过项目官方渠道核实链接。如已授权可疑合约,务必立即撤销授权后再继续操作。
6. 社会工程防御:恋爱、任务、冒充
最大的加密骗局往往依靠人性而非技术。
恋爱和“杀猪盘”骗局通过伪造关系并展示虚假交易平台利润,诱使受害者不断加大投入或支付虚构“解锁费”。
招聘类骗局通常始于WhatsApp或Telegram上的友好消息,先以微任务和小额奖励吸引,随后演变为存款骗局。冒充“客服人员”的骗子可能要求你共享屏幕或诱骗获取助记词。
辨别方法始终如一:真实客服绝不会索要你的私钥,不会引导你访问仿冒网站,也不会要求通过比特币ATM或礼品卡付款。发现这些风险信号应立即断绝联系。
值得注意的是,2024年“杀猪盘”骗局的充值次数同比增长约210%,但每次充值平均金额下降。
7. 恢复准备:让错误可控
再谨慎的人也会犯错。灾难与挫折的区别在于提前准备。
离线保存一份“应急卡”,列明关键恢复资源:已认证的交易所客服链接、可信的授权撤销工具和官方举报渠道,如联邦贸易委员会和FBI互联网犯罪投诉中心(IC3)。
如出现问题,报告中应包含交易哈希、钱包地址、金额、时间戳和截图。据调查人员介绍,这些信息常用于关联多个案件。
虽然资金可能无法立即追回,但有预案可以将损失控制在可承受范围内。
最坏情况发生时:后续应对方法
如误点恶意链接或错发资金,请迅速行动。将剩余资产转入你完全掌控的新钱包,然后用Etherscan Token Approval Checker或Revoke.cash等可信工具撤销旧权限。
修改密码,切换为抗钓鱼2FA,退出其他所有会话,并检查邮箱设置,确认无异常转发或过滤规则。
随后升级处理:联系交易所标记目标地址,并向IC3或本地监管机构提交报告。报告中应包含交易哈希、钱包地址、时间戳和截图。据调查人员介绍,这些信息有助于关联案件,即使追回资金需要时间。
核心教训很明确:七大安全习惯(强MFA、谨慎签名、冷热钱包分离、设备安全、转账前核查、警惕社会工程和恢复预案)可防范绝大多数日常加密风险。
从小处着手:先升级你的2FA并优化签名习惯,逐步完善。现在的准备能帮你在2025年避免灾难性损失。