加密貨幣安全專家表示,明年大多數的加密貨幣攻擊不會是由你最喜歡的協議中的零日漏洞所造成。它將由你自己造成。
這是因為 2025 年顯示,大多數駭客攻擊並非始於惡意程式碼;它們始於一次對話,加密貨幣交易所 Kraken 首席安全官 Nick Percoco 告訴 Cointelegraph。
根據 Chainalysis 的數據,從 2025 年 1 月到 12 月初,加密貨幣產業遭遇了超過 34 億美元的盜竊,其中 2 月份 Bybit 的攻陷事件占據了近一半的總額。
今年惡意行為者竊取了超過 34 億美元。來源:Chainalysis在攻擊期間,惡意行為者透過社交工程獲得存取權限,注入了惡意的 JavaScript 負載,使他們能夠修改交易細節並竊取資金。
什麼是社交工程?
社交工程是一種網路攻擊方法,透過操縱人們洩露機密資訊或執行損害安全的行為。
Percoco 表示,加密貨幣安全的戰場將在人的思維中,而非網路空間。
技巧 1:盡可能使用自動化
根據 Percoco 的說法,供應鏈攻陷也證明是今年的一個關鍵挑戰,因為看似微小的漏洞可能在日後證明是毀滅性的,因為「這是一座數位疊疊樂塔,每一塊積木的完整性都很重要。」
在未來一年,Percoco 建議透過盡可能自動化防禦措施和透過身份驗證來驗證每次數位互動等行動,來減少人為信任點,實現「從被動防禦轉向主動預防」。
「特別是在加密貨幣領域,最薄弱的環節仍然是人為信任,被貪婪和 FOMO 放大。這就是攻擊者每次利用的裂縫。但沒有任何技術可以取代良好的習慣,」他補充道。
技巧 2:隔離基礎設施
來自 SlowMist 的安全營運主管 Lisa 表示,惡意行為者今年越來越多地針對開發者生態系統,結合雲端憑證洩露,創造了注入惡意程式碼、竊取機密和污染軟體更新的機會。
「開發者可以透過固定依賴項版本、驗證套件完整性、隔離建置環境以及在部署前審查更新來降低這些風險,」她說。
進入 2026 年,Lisa 預測最重大的威脅可能源自日益複雜的憑證竊取和社交工程操作。
來源:SlowMist「威脅行為者已經在利用 AI 生成的深度偽造、量身定制的網路釣魚,甚至假的開發者招聘測試來獲取錢包金鑰、雲端憑證和簽名令牌。這些攻擊正變得更加自動化和令人信服,我們預期這一趨勢將持續下去,」她說。
為了保持安全,Lisa 對組織的建議是實施強大的存取控制、金鑰輪換、硬體支援的身份驗證、基礎設施分段以及異常檢測和監控。
個人應依賴硬體錢包,避免與未經驗證的檔案互動,透過獨立管道交叉檢查身份,並謹慎對待未經請求的連結或下載。
技巧 3:使用個人身份證明來對抗 AI 深度偽造
區塊鏈網路安全公司 Halborn 的共同創辦人兼技術長 Steven Walbroehl 預測,AI 增強的社交工程將在加密貨幣駭客的策略手冊中扮演重要角色。
3 月份,至少三位加密貨幣創辦人報告挫敗了疑似北韓駭客透過使用深度偽造的假 Zoom 通話竊取敏感資料的企圖。
Walbroehl 警告,駭客正在使用 AI 創建高度個人化、具有情境感知的攻擊,繞過傳統的安全意識訓練。
為了對抗這一點,他建議為所有關鍵通訊實施加密個人身份證明、具有生物識別綁定的硬體身份驗證、建立正常交易模式基準的異常檢測系統,以及使用預先共享的秘密或短語建立驗證協議。
技巧 4:保護好你的加密貨幣
根據 Bitcoin OG 和密碼龐克 Jameson Lopps 的 GitHub 列表,扳手攻擊或對加密貨幣持有者的物理攻擊也是 2025 年的一個突出主題,至少記錄了 65 起案例。2021 年的上一次牛市高峰是之前記錄中最糟糕的一年,共記錄了 36 起攻擊
一位名為 Beau 的 X 用戶,前 CIA 官員,在 12 月 2 日的 X 貼文中表示,扳手攻擊仍然相對罕見,但他仍建議加密貨幣用戶採取預防措施,首先不要談論財富或在網上披露加密貨幣持有量或奢侈的生活方式。
來源:Beau他還建議透過使用資料清理工具隱藏私人個人資訊(如家庭地址)來成為「難以攻擊的目標」,並投資家庭防禦措施,如安全攝影機和警報器。
技巧 5:不要在久經考驗的安全技巧上吝嗇
曾在 Robinhood 擔任資訊安全長的安全專家 David Schwed 表示,他的首要建議是堅持使用展現警惕安全實踐的信譽良好的企業,包括對其整個堆疊(從智能合約到基礎設施)進行嚴格和定期的第三方安全稽核。
然而,無論技術如何,Schwed 表示用戶應避免對多個帳戶使用相同的密碼,選擇使用硬體令牌作為多因素身份驗證方法,並透過安全加密或將其離線存儲在安全的物理位置來保護助記詞。
他還建議對重要持有量使用專用硬體錢包,並最小化在交易所的持有量。
相關:魚叉式網路釣魚是北韓駭客的首要策略:如何保持安全
「安全取決於互動層。用戶在將硬體錢包連接到新的網路應用程式時必須保持高度警惕,並且在簽署前必須徹底驗證硬體設備螢幕上顯示的交易數據。這可以防止對惡意合約的『盲簽』,」Schwed 補充道。
Lisa 表示,她最好的建議是只使用官方軟體,避免與未經驗證的 URLs 互動,並將資金分散到熱、溫和冷配置中。
為了應對社交工程和網路釣魚等詐騙日益複雜的情況,Kraken 的 Percoco 建議始終保持「徹底的懷疑態度」,透過驗證真實性並假設每條訊息都是對意識的測試。
「還有一個普遍的真理:沒有任何合法的公司、服務或機會會要求你提供助記詞或登入憑證。當他們這樣做的那一刻,你就是在和詐騙者對話,」Percoco 補充道。
同時,Walbroehl 建議使用加密安全的隨機數生成器生成金鑰,在開發和生產環境之間嚴格隔離,定期進行安全稽核和事件回應規劃,並定期演練。
雜誌:當隱私和反洗錢法律衝突時:加密貨幣專案的不可能選擇
來源:https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
