加密安全专家指出,明年大多数加密货币漏洞利用不会是由你喜爱的协议中的零日漏洞引起的。而是由用户自身行为造成的。
这是因为2025年的数据已经表明,大多数黑客攻击并非始于恶意代码,而是始于一场对话,加密货币交易所Kraken的首席安全官Nick Percoco向Cointelegraph透露。
"攻击者不是闯入系统,而是被邀请进来的。"
从2025年1月到12月初,Chainalysis的数据显示,加密行业遭遇了超过34亿美元的资金被盗,其中2月份Bybit的安全漏洞占总额的近一半。
在攻击过程中,不法分子通过社交工程手段获得访问权限,注入恶意JavaScript负载,使其能够修改交易细节并窃取资金。
什么是社会工程?
社会工程是一种网络攻击方法,通过操纵人们透露机密信息或执行危及安全的行为。
Percoco表示,加密货币安全的战场将在思维中,而非网络空间。
"安全不再是构建更高的墙,而是训练您的思维识别操纵手段。目标应该很简单:不要仅仅因为某人听起来像是内部人员或者在制造恐慌感,就将系统钥匙交出去。"
技巧1:尽可能使用自动化
Percoco指出,供应链漏洞也已被证明是今年的关键挑战,因为看似微小的漏洞后期可能会造成毁灭性的后果,这是因为"整个体系就像数字叠叠高游戏,每一个模块的完整性都至关重要。"
在未来一年,Percoco建议通过尽可能实现防御自动化以及通过身份验证核实每次数字交互等措施来减少人为信任环节,从而"从被动防御转向主动预防"。
"加密货币安全的未来将由更智能的身份验证和AI驱动的威胁检测系统塑造。我们正在进入一个系统能够在用户甚至是训练有素的安全分析师意识到异常前就能识别出威胁的时代。"
"特别是在加密货币领域,最薄弱的环节仍然是人类的信任,这往往被贪婪和FOMO(害怕错过)心理放大。这正是攻击者每次利用的缺口。但没有任何技术能取代良好的安全习惯,"他补充道。
技巧2:隔离基础设施
慢雾科技的安全运营负责人Lisa指出,今年黑客攻击者越来越多地针对开发者生态系统发起攻击,这与云凭证泄露现象相结合,为注入恶意代码、窃取机密信息和污染软件更新创造了有利条件。
"开发者可以通过固定依赖版本、验证软件包完整性、隔离构建环境以及在部署前审查更新来有效降低这些风险,"她强调道。
展望2026年,Lisa预测最显著的网络安全威胁可能来源于日益复杂的凭证窃取和社会工程攻击操作。
"威胁行为者已经开始利用AI生成的深度伪造技术、定制钓鱼攻击和甚至虚假开发者招聘测试来获取钱包密钥、云端凭证和签名令牌。这些攻击正变得更加自动化且具有欺骗性,我们预计这一趋势将会持续发展,"她进一步解释道。
为确保安全,Lisa建议各组织实施强有力的访问控制、密钥定期轮换、硬件支持的身份认证、基础设施分割以及异常检测和监控系统。
个人用户则应依靠硬件钱包,避免与未经验证的文件进行交互,通过独立渠道交叉验证身份,并对未经请求的链接或下载内容保持高度警惕。
技巧3:利用个人身份证明对抗AI深度伪造
区块链网络安全公司Halborn的联合创始人兼首席技术官Steven Walbroehl预测,AI增强型社会工程攻击将在加密货币黑客的攻击手段库中占据重要地位。
今年3月,至少有三位加密货币创始人报告称,他们成功挫败了据称来自朝鲜黑客组织通过深度伪造技术制作的虚假Zoom通话窃取敏感数据的企图。
Walbroehl警告指出,黑客正在利用AI创建高度个性化、上下文感知的攻击手段,从而有效绕过传统的安全意识培训防线。
为应对这些威胁,他建议为所有关键通信实施加密的个人身份证明机制、配备生物特征绑定的硬件认证系统、建立对正常交易模式进行基准分析的异常检测系统,以及使用预共享密钥或特定短语建立验证协议。
技巧4:保管好你的加密货币
扳手攻击(即对加密货币持有者的肢体攻击)也成为2025年的一个突出安全议题,根据比特币元老和密码朋克Jameson Lopps在GitHub上的统计列表,今年至少记录了65起此类事件。此前在2021年牛市高峰期是历史上最严峻的一年,共记录了36起攻击事件。
前CIA官员、X平台用户Beau在12月2日的帖子中表示,虽然扳手攻击仍然相对罕见,但他强烈建议加密货币用户采取预防措施,首要原则是不在网上谈论个人财富或披露加密货币持有情况及奢侈生活方式。
他进一步建议用户成为"难以攻击的目标",可通过使用数据清理工具隐藏个人私密信息(如家庭住址),并投资家庭安全防御系统,如安装安全摄像头和警报设备等措施。
技巧5:坚守经典安全原则不可懈怠
David Schwed,这位曾在Robinhood担任首席信息安全官的资深安全专家指出,他的首要建议是选择那些能够展示严格安全实践的知名企业,这些机构应定期对其整个技术栈进行全面的第三方安全审计,包括智能合约到基础设施的各个层面。
然而,Schwed强调,无论采用何种技术,用户都应避免在多个账户中重复使用相同密码,优先选择硬件令牌作为多因素认证方式,并通过安全加密或存储在安全的物理离线位置来妥善保护助记词。
他进一步建议用户为大额资产使用专用硬件钱包,并尽可能减少在交易所中的资产持有量。
"安全核心在于交互层面。用户在将硬件钱包连接到新的网络应用时必须保持高度警觉,并在签名前必须全面验证硬件设备屏幕上显示的交易数据。这样能有效防止'盲目签署'恶意合约的风险,"Schwed补充道。
Lisa表示,她的核心安全建议包括仅使用官方软件,避免与未验证的URL进行交互,并将资金分别存储在热钱包、温钱包和冷钱包配置中。
针对日益复杂的社会工程学和网络钓鱼等诈骗手段,Kraken的Percoco建议用户始终保持"彻底的怀疑态度",通过验证真实性并将每条消息视为安全意识测试。
"有一条亘古不变的真理:任何合法的公司、服务或机会绝不会索要您的助记词或登录凭据。一旦出现这种要求,您面对的就是骗子,"Percoco强调道。
同时,Walbroehl推荐使用加密安全的随机数生成器创建密钥,严格分离开发和生产环境,定期进行安全审计,并制定事件响应计划及定期演练。
