值得信赖的区块链资讯!
黑客加速转向社工攻击,你的钱包安全防线准备好了么?
来源:布噜说
原文链接:https://mp.weixin.qq.com/s/V8LDRR_eZ8eiqn6zBuj9dw
Web3 是一片黑暗森林么?
这个问题,也许每个 Web3 用户都曾在心中问过自己。
「黑暗森林」理论,原本出自刘慈欣的《三体》,如今却被越来越多地用来形容 Web3 的安全生态:曾经我们以为只要智能合约审计合格、冷钱包离线保管,资产就足够安全,但现实却是,黑客早已悄悄换了方向,不只是围绕技术漏洞,而是转向了另一个更容易得手的破口——人性。
本文我们也将拆解这场「攻击范式的转变」,也看看,作为用户,我们的防线,还稳不稳。
01安全,Web3 的「不可承受之重」
自 2020 年 DeFi 盛夏以来,Web3 世界经历了一轮快速进化。
DEX、借贷、衍生品、固定收益、算法稳定币、资产合成、收益聚合器……每一个细分赛道都像是乐高积木,在开源与可组合性的加持下自由拼装,构建起一个多元而繁荣的链上金融宇宙。
只不过 DeFi 自身的无边界属性和可组合特性,在为这个「乐高世界」提供了足够的想象空间与可能性之余,也带来了诸多比传统金融更不可测的风险,使得整个链上世界更加脆弱:
攻击者无需通过正面攻破整个协议,只要找到最脆弱的一块拼图,就能击穿整个结构,从 Ronin 攻击事件再到屡见不鲜的链上 Rug、合约漏洞等安全事件,大多数都发生在链上。
更值得警惕的是,在这些安全事件中,攻击手段也日趋多元化。
如果说过去黑客偏好技术硬碰硬,如利用代码审计疏漏、合约逻辑漏洞进行攻击,那么如今,除了技术层面的合约漏洞(Poly、BNB Bridge),「社会工程攻击」正被黑客广泛采用并屡屡得逞:
这类攻击不再需要破解任何代码,甚至无需直接触及协议本身,只要诱导用户点击错一个链接、签名错一笔交易、复制错一个地址,就能达到盗取资产的目的。
02黑客转向:从合约漏洞到社会工程学攻击
人,其实才是安全系统中最薄弱的环节。
近两年来,针对用户的网络钓鱼几乎成为 Web3 中损失资金的最常见方式——CertiK 统计数据显示,2025 年第一季度 Web3 领域发生 197 起攻击事件,导致资产损失约 16.7 亿美元,较上一季度激增 303.4%。
值得警惕的是,私钥泄露事件(15 起 /1.4 亿美元)与高频爆发的钓鱼攻击(81 起 /1600 万美元)成为新威胁,黑客利用深度伪造、AI 伪装、恶意 DApp 等社会工程学手段突破防线。
这也是一个明眼可见的趋势,黑客不再偏爱攻破智能合约本身,而是转向了利用用户的操作疏忽与信息不对称发起社会工程学攻击,包括 2025 年 2 月 Bybit 交易所遭遇黑客攻击,导致价值约 15 亿美元的加密资产被盗,创下加密历史上单次盗窃案的新纪录,就与社会工程学攻击息息相关。
不过社会工程学攻击手法虽然种类繁多,但核心还是围绕「骗」字展开,所以常见的社会工程学手法也都与「骗取目标的信任和信息」有关:
-
Approve 欺骗:灰尘攻击、空投钓鱼 NFT,诱导用户签名授权;
-
私钥盗取:木马病毒、剪贴板监听、远程控制、输入法泄露等;
-
诈骗链接和钓鱼网站:假冒热门 DApp 界面或钱包 UI,诱导用户输入助记词或私钥;
-
伪装地址转账欺诈:通过尾号相似地址诱导用户误转;
以「Approve 欺骗」为例,黑客会通过「灰尘攻击」发送少量的加密资产或空投 NFT,诱使用户点击并进行交易授权,一旦中招,会让攻击者获得用户的钱包权限,从而盗取用户的资产(包括加密资产和 NFT)。
正因如此,用户在链上交易时,特别是在使用 DeFi 应用或交易工具时,授权管理就是一个需要高度重视的问题。毕竟以太坊的机制要求用户向智能合约授予代币授权,攻击者可以利用这个授权机制进行恶意操作。
所以用户应经常检查钱包的授权列表,及时撤销不再需要的授权,尤其是那些可能被遗忘的早期授权,以降低风险。
此外还有伪装地址转账欺诈(首尾攻击),也是极具欺骗性的社会工程学攻击手段——攻击者往往会利用地址生成特性(首尾若干字符相同,中间不同),伪造与用户常用地址或收款方地址「看起来相似」的地址,诱导用户将资产误转到攻击者地址,以骗取资金,目前主流 Web3 钱包都已添加针对「首尾攻击」的风险交易拦截服务。
总的来说,黑客不再仅仅执着于攻破智能合约本身,而是越来越多地利用用户的操作疏忽、认知偏差和信息不对称,发起精准的社会工程学攻击, 这已成为 Web2 和 Web3 领域用户损失资金的最常见途径。
03钱包们的用户「安全护城河」
那面对黑客不断升级的攻击手法,各家钱包厂商也在不断进化自己的防线,提供针对任意一笔链上交易的「全流程」服务,尽量确保交易的每一步环节都是安全的,从而实现全面的链上风险管理。
以 imToken 的安全风控系统为例,就采用了「动态标记 + 智能拦截 + 行为分析 + 多方协同」的组合策略,为用户构建从入口到交互的全流程防线:
比推快讯
更多 >>- 彭博 ETF 分析师称 DTCC 推进代币化是重大进展
- DTCC 将为华尔街代币化微软、标普 500ETF、纳斯达克 100ETF 及美国国债
- 美国 6 月 PPI 月率-0.3%,预期 0%
- BackedFi 以 500 枚 HYPE 购买 solana 现货交易代码,价值 3.42 万美元
- 美国 6 月 CPI 环比下降 0.4%,BTC 升至 6.49 万美元
- 摩根士丹利交易业务再创季度纪录,交易收入达 63 亿美元,同比增长 69%
- Uniswap 发起治理提案,拟在 Robinhood Chain 激活协议费用并销毁 UNI
- 英国欺诈审查建议法官接受加密洗钱与 AI 诈骗培训,提及逾 6.1 万枚 BTC 扣押案
- Multicoin 合伙人看涨 HYPE 至 319 美元,建议投资者分批建仓
- 美参议员为特朗普加密货币持仓辩护,推动中立道德规则
- 巨鲸先定 10 个大目标晒单三度做多比特币,总计获利约 400 万美元
- 累计盈利约 394 万美元,“先定 10 个大目标”晒出近期 BTC 交易
- 马斯克:X 完成安全漏洞审查后将全面开源代码库
- 马斯克:将把 X 平台整个代码库开源
- Starknet 开放隐私开发栈,STRK20 支持开发者集成私密资产功能
- 美军:完成此次打击伊朗行动,耗时 90 分钟
- 美银调查显示美股看涨程度创 2024 年新高
- 哈塞特:数据显示美联储没有加息理由
- 巴菲特:我当年没有投资谷歌是个错误,其如今更有可能成为赢家
- 观点:未来 5 至 10 年标普 500 半数公司或将彻底失去投资价值,AI 泡沫论完全不存在
- DeepSeek 完成首轮融资,国家人工智能产业投资基金、杭州程砺参投
- 特朗普永久夏令时法案通过美国众议院审议
- 伊朗政府发言人:伊朗绝不会允许美国干涉霍尔木兹海峡的管理,与美合作等同于对伊朗开战
- ADI Chain 完成 5000 万美元融资,IHC 参投
- Stable 宣布推出全球 USDT 日常支付应用 StablePay
- 以台积电为标尺丈量海力士 ADR 高溢价,3240 万美元收敛头寸仍双向倒贴资金费
- BNB 完成第 36 次季度销毁,总计约 161.58 万枚 BNB,价值约 9.137 亿美元
- 传 OpenAI 研究员创业做 AI 制药,估值谈到 20 亿美元
- OpenAI 送 100 美元征集 GPT-5.6 晒单,前 1 万人可领
- iOS 27 开放公测,新 Siri 首次面向普通用户
- Galaxy Digital 研究主管:2026 年 BTC 旧币唤醒量预计不足去年一半,大派发阶段基本结束
- WAIC 最全周边活动合计来啦,周末上海就去这些地方边 AI 边 High
- 跨链协议 Owlto 加入 Google Web3 Startup Program,获专属云服务额度
- DeepSeek 首轮融资正式落地,腾讯等投资方完成入股
- 某预测市场玩家两周内实现从亏损 1080 万美元到盈利 800 万美元
- 数据:若 BTC 跌破 61,379 美元,主流 CEX 累计多单清算强度将达 17.1 亿美元
- Revolut 获迪拜 VARA 原则性批准,拟在阿联酋推出加密货币服务
- 苹果 Apple Intelligence 已在中国完成网信办备案,将集成阿里通义千问等大模型
- 数据:上半年加密一级市场融资金额达 86.58 亿美元,融资事件 259 起
- 苹果 AI 入华将同时接入百度和阿里,千问已获确认
- 鲁比尼:通胀仍是市场最大风险,美债收益率或升至 30 年高位
- Robinhood Chain 资金转向效用型代币,PONS 及 INDEX 市值齐破千万美元
- Claude 新广告开场烧房子,网友以为在看 AI 末日片
- 派盾:LayerZero Executor 钱包资金异动并非攻击,用户资金无风险
- Coinvestor Ventures 宣布战略投资链上交易平台 Universe Pro
- 数据:某地址 20 倍杠杆持有约 4800 万美元 ETH 多单和 BTC 空单,整体浮亏 385.6 万美元
- 美媒 Semafor:白宫不排除对开源 AI 模型采取行动
- Meta 高管:工程师 AI 账单或追平工资,未来可能限额
- 分析师:若油价企稳,美国科技板块或将受益
- 上线仅 5 小时 Hyperliquid 上长鑫存储 OI 突破 2300 万美元
比推专栏
更多 >>观点
比推热门文章
- DTCC 将为华尔街代币化微软、标普 500ETF、纳斯达克 100ETF 及美国国债
- 美国 6 月 PPI 月率-0.3%,预期 0%
- BackedFi 以 500 枚 HYPE 购买 solana 现货交易代码,价值 3.42 万美元
- 美国 6 月 CPI 环比下降 0.4%,BTC 升至 6.49 万美元
- 摩根士丹利交易业务再创季度纪录,交易收入达 63 亿美元,同比增长 69%
- Uniswap 发起治理提案,拟在 Robinhood Chain 激活协议费用并销毁 UNI
- 英国欺诈审查建议法官接受加密洗钱与 AI 诈骗培训,提及逾 6.1 万枚 BTC 扣押案
- Multicoin 合伙人看涨 HYPE 至 319 美元,建议投资者分批建仓
- 美参议员为特朗普加密货币持仓辩护,推动中立道德规则
- 巨鲸先定 10 个大目标晒单三度做多比特币,总计获利约 400 万美元
比推 APP


