当黑客变成国家队和 AI：给 2026 年加密项目的安全自测清单

Chainfeeds 导读：

过去十年，加密世界花了大量时间证明自己不是庞氏游戏；接下来的十年，它需要用同样的决心，证明自己在安全维度上足以承载严肃资本。

文章来源：

文章作者：

链上启示录

观点：

链上启示录：今年的加密攻击呈现出一种新的对称性：事件数量减少，但每次攻击的破坏性却显著增强。SlowMist 发布的 2025 年中报告显示，上半年加密行业遭遇了 121 起安全事件 —— 比去年同期的 223 起下降了 45%。这本应是好消息，但攻击事件损失却从 14.3 亿美元飙升至 约 23.7 亿美元，增幅 66%。攻击者不再浪费时间在低价值目标上，而是专注于高价值资产和高技术壁垒的入口。 去中心化金融（DeFi）依然是攻击者的主要战场，占据了 76% 的攻击事件。然而，尽管事件数量占比高达 92 起，DeFi 协议的损失却从 2024 年的 6.59 亿美元下降至 4.7 亿美元。这一趋势表明，智能合约的安全性正在逐步提高，形式化验证、漏洞赏金计划和运行时保护工具的普及，正在为 DeFi 构筑更坚固的防线。但这并不意味着 DeFi 协议已经安全。攻击者的目标转向了更为复杂的漏洞，寻找那些能够带来更大回报的机会。与此同时，中心化交易所（CEX）则成为了损失的主要来源。尽管仅发生了 11 起攻击事件，但其造成的损失高达 18.83 亿美元，其中某知名交易所的单次损失就达 14.6 亿美元 —— 这是加密史上规模最大的单次攻击事件之一（金额上甚至超过 Ronin 事件的 6.25 亿美元）。这些攻击并非依赖链上漏洞，而是源于账户劫持、内部权限滥用和社会工程攻击。 这种「效率差」也导致了攻击目标的两极分化：DeFi 战场：技术密集型 —— 攻击者需要深入理解智能合约逻辑、发现重入漏洞、利用 AMM 定价机制缺陷；CEX 战场：权限密集型 —— 目标不是破解代码，而是获取账户访问权限、API 密钥、多签钱包的签名权。与此同时，攻击手段也在进化。2025 年上半年出现了一系列新型攻击：利用 EIP-7702 授权机制的钓鱼攻击、使用 deepfake 技术伪装成交易所高管的投资诈骗、伪装成 Web3 安全工具的恶意浏览器插件。香港警方破获的一个 deepfake 诈骗团伙造成了超过 3,400 万港元的损失 —— 受害者以为自己在和真实的加密货币影响者视频通话，实际上对方是 AI 生成的虚拟形象。