47 起加密安全事件覆盤：所有人都栽在同一個人為漏洞

2026.04.14

分享至

TechFlow Selected深潮精選

47 起加密安全事件覆盤：所有人都栽在同一個人為漏洞

只有把安全當作持續可量化成本，而非一次性勾選任務，才能活下來。

2026.04.14 - 13:06:38

專注 Web3 行業深度報導，洞察潮水流動的方向

只有把安全當作持續可量化成本，而非一次性勾選任務，才能活下來。

撰文：Vladimir S.

編譯：Saoirse，Foresight News

2026 年前三個月，我做了一件加密圈大多數人都不願做的事：通讀了今年所有重大安全事件的事後覆盤、鏈上取證報告，以及洩露的 Discord 聊天記錄。一共 47 起事件，超過 38 億美元資產不翼而飛。但這些案件裡，沒有一起是所謂「天才級零日（0-day，指剛被發現、還沒人公開、官方也沒補丁的安全漏洞）智能合約漏洞攻擊」。

每一次，資金都是從正門被轉走的 —— 因為是人為把大門打開的。

所有人都在怪代碼，而我要怪的是人。下面是來自 47 起案例的鐵證……

我按失守類型做了歸類，規律一目瞭然。沒有廢話，只有殘酷的真相：

其餘 32 起事件概覽

社會工程學攻擊（新增 13 起）：合計約 6.2 億美元，主要是巨鯨釣魚、深度偽造語音詐騙、Telegram「官方開發支持」騙局，平均每起損失 3500 萬–4000 萬美元。
開發者與供應鏈安全（新增 8 起）：合計約 4.8 億美元，包括 npm/PyPI 軟件包植入後門、惡意 TestFlight 應用、開發者電腦被入侵等。
私鑰與憑證洩露（新增 5 起）：合計約 3.1 億美元，包括助記詞洩露、密鑰存在雲端、弱 2FA 被繞過等。
DAO 治理劫持與閃電貸攻擊（新增 6 起）：合計約 1.5 億美元，利用代幣加權投票漏洞、低投票率提案接管等方式作案。

針對特權人員的社會工程學攻擊（19 起，損失超 12 億美元）

這一類遙遙領先。攻擊者根本不用破解算法，他們攻破的是人。

Drift Protocol（2026 年 4 月 1 日，2.85 億美元）：朝鮮黑客組織 UNC4736 花了六個月時間獲取多籤簽名者和管理員的信任。偽造 LinkedIn 資料、虛假招聘、逐步滲透權限。他們偽造抵押品，拿到 5 分之 2 的多籤許可後，幾分鐘內就掏空了金庫。代碼沒被黑，是人被攻破了。
Coinbase 客服外包商受賄（2025 年 5 月，預估影響 4 億美元）：海外內部人員隨意洩露用戶賬戶數據。
783 枚比特幣巨鯨釣魚（2025 年 8 月，9100 萬美元）：受害者以為在和硬件錢包「官方客服」溝通，在加密聊天裡交出了助記詞。

開發者與供應鏈入侵（11 起，損失超 17 億美元）

你所謂「安全」的錢包基礎設施，安全程度只取決於開發者凌晨兩點用的那臺筆記本。

Bybit 冷錢包被盜（2025 年 2 月，15 億美元）：拉撒路集團入侵了一臺 Safe{Wallet} 開發者設備，並用它批准了鉅額轉賬。一臺設備、一個人，直接崩盤。
Phemex 熱錢包（2025 年 1 月，8500 萬美元）：定向釣魚後，內部系統遭未授權訪問。

私鑰與憑證洩露（9 起，損失超 6.5 億美元）

2026 年了，這種事還在發生。真的。

DMM Bitcoin（2024 年遺留取證案，3.05 億美元）：經典私鑰洩露案，至今仍被分析師當作 2025–2026 年交易所被盜的範本。

DAO 治理劫持與閃電貸（8 起，損失超 2.2 億美元）

低投票率 + 代幣加權投票 = 只要有幾百萬流動性就能白撿錢。

GreenField DAO（2025 年，3100 萬美元）：單區塊閃電貸治理攻擊。
UPCX Protocol（2025 年，7000 萬美元）：典型提案接管攻擊。

其餘案件金額更小，但套路完全一致：低價買票、掏空金庫、人間蒸發。

所有受害者無一例外，都犯了同一個致命錯誤：他們把人工審批當成了可靠的安全邊界。

每一起案件裡，都有一個人（或一小群人）的決策是最終關卡。沒有技術強制校驗、沒有強制交易模擬、沒有實時身份核驗、沒有時間延遲。只有一句：「相信我，我是簽名者。」

這才是唯一的單點故障。不是代碼，是環節裡的人。

七層操作安全防護體系

我並非僅在理論上倡導這套方案，而是已將其實際運用於兩個八位數規模資金池的安全防護工作中。下述完整體系，足以防範上述 47 起安全事件中的任何一起：

1、空氣隔離設備 + MPC 多方簽名

熱設備上絕不存放助記詞。使用硬件錢包或多方計算錢包，確保沒有任何人能單獨看到完整密鑰。

空氣隔離簽名意味著最終簽名在從未聯網的硬件上完成。MPC 更進一步：密鑰永遠不會完整出現在同一個地方。密鑰分片分佈在多臺設備 / 多人手中，只有達到閾值才能生成有效簽名。熱操作用 MPC，大額資金劃轉用空氣隔離冷存儲，並在 MPC 引擎內設置流速限制、白名單等規則，即便某一份分片洩露，系統仍會攔截。

2、跨地域分佈式多籤 + 高閾值

最低採用 3/5 模式，簽名者分佈在不同大洲、不同設備、不同時區。拒絕 2/3 這種「大家都互相認識」的脆弱設置。

即便攻擊者社工拿下兩名簽名者，仍需要第三個不同時區、可能正在睡覺或離線的簽名者。每季度輪換籤名人，強制使用硬件密鑰，永遠不要用 2/3。

3、強制交易模擬與預覽

每一次簽名都必須在沙箱中完整預演，清晰展示鏈上會發生什麼。禁止盲籤。

若模擬結果與預期不完全一致，交易直接終止。

4、實時身份核驗 + 挑戰應答驗證

大額交易必須進行實時視頻通話，配合預共享密語或實時展示鏈上隨機數。深度偽造在這裡直接失效。

提前安排通話、錄音留痕審計，可使用 Signal 等工具。

5、時間鎖 + 延遲執行

超過 50 萬美元的交易進入 48–72 小時時間鎖隊列，公開可查，並支持緊急暫停。

給團隊留出異常響應時間，可阻止大量閃電貸治理攻擊和倉促授權被盜。