攻擊「人」更易於攻擊代碼，Web3 被盜資金追回率已不足 10%

撰文：Tiger Researcher

編譯：AididiaoJP，Foresight News

關鍵要點

• 截至 2026 年 4 月，Web3 黑客攻擊事件接連發生，僅 4 月就報告了 12 起事件。
• 社會工程攻擊佔比逐年上升，在 2026 年第一季度已佔總黑客損失的 74.7%。攻擊人比攻擊代碼更容易。
• 自 2020 年以來，被盜資金的平均追回率始終低於 10%。與傳統金融不同，Web3 無法阻止鏈上直接盜竊，資金在攻擊發生的那一刻就已流出。
• Bybit 遭受 15 億美元黑客攻擊後，仍能繼續運營且未讓投資者蒙受損失，這得益於交易所間的協調和儲備資金。而 DeFi 項目一旦資產離開協議，就沒有這樣的緩衝時間。
• 反覆發生的黑客攻擊和低於 10% 的追回率，是機構投資者至今不願入場的關鍵障礙。Web3 需要的不是理念，而是結構化和可問責的運作機制。

黑客攻擊仍在持續發生

@hyperbridge（一個連接 Polkadot 和 Ethereum 的跨鏈橋協議）遭到攻擊。

攻擊者利用證明驗證邏輯中的漏洞，偽造跨鏈消息，導致在 Ethereum 上未經授權鑄造約 10 億枚橋接 DOT。經確認，用戶在 Ethereum、Arbitrum、Base 和 BNB Chain 上的損失總計達 250 萬美元。

在 Polkadot 跨鏈橋被攻擊之前，DeFi 協議@DriftProtocol 遭受了 2.957 億美元的嚴重攻擊。一個與朝鮮相關的黑客組織花費六個月時間與團隊成員建立信任，隨後奪取治理權限，這是一次高度精密的社會工程操作。Tether 隨後提出 1.275 億美元的支持方案，但總援助金額 1.475 億美元仍遠不足以覆蓋全部 2.957 億美元的損失。

此後黑客攻擊並未停止。加上 Drift 事件後的小型攻擊，單 4 月就發生了 12 起。在這個以可編程金融為基礎的行業中，安全漏洞不斷累積，投資者和機構都日益感到不安。

黑客攻擊的目標是人

Drift Protocol 的黑客攻擊源於一名團隊成員的電腦被入侵。攻擊目標並非智能合約漏洞或系統缺陷，而是一個人。

更大的問題是，社會工程攻擊在 Web3 黑客事件中的佔比正在持續擴大。

2021 年，社會工程攻擊佔總黑客損失的 28.7%，2025 年升至 64.3%，2026 年第一季度進一步達到 74.7%。針對人的攻擊持續擴張，而代碼層面的漏洞利用佔比則相對下降。

鑑於區塊鏈的開源特性，人們原本以為代碼漏洞會佔據主導。但現實中，社會工程已成為更主要的攻擊向量。原因很簡單：攻破一個擁有現有權限的人，比找到代碼中的漏洞要容易得多。

傳統行業也呈現相同規律。2025 年，70% 的企業黑客攻擊都涉及社會工程，這一攻擊手法已直接移植到 Web3 領域。

然而，Web3 與傳統金融有一個關鍵區別：在傳統金融中，攻擊成功後很少導致資金被徹底盜走，賬戶凍結、轉賬撤銷和機構干預均可發揮作用。而在 Web3 中，協議資金可直接在鏈上被抽走，一旦交易確認，便無法逆轉。

這正是 Web3 成為誘人目標的原因。

追回率持續下降，損失不可逆轉

DeFi 協議黑客攻擊每年造成數十億美元損失，但被盜資金實際追回的比例卻持續下滑。隨著朝鮮 Lazarus Group 等國家支持的攻擊者出現，以及通過混幣器和跨鏈橋進行日益複雜的洗錢，資金追回變得越來越困難。

如果被盜資金能夠追回，至少還能維持最低的安全標準，但 DeFi 的追回率始終停留在極低水平。

自 2020 年以來，年度平均追回率一直低於 10%。2021 年 Poly Network 被黑 6.11 億美元是唯一例外——攻擊者主動全額歸還資金，才使當年數據大幅提升。除去該事件後，每年的追回率均處於低位。

倖存者是擁有應對能力的玩家

並非所有 Web3 項目在遭受黑客攻擊後都會崩潰。與 DeFi 項目通常一次攻擊就崩盤不同，有些玩家成功挺過了打擊。

2025 年，Bybit 在遭受 15 億美元黑客攻擊後成功存活。跨交易所協調以及足以覆蓋損失的儲備資金髮揮了關鍵作用。雖然並非所有被盜資金都已追回，但交易所得以繼續運營且未讓投資者遭受損失，這才是重點。交易所普遍設有獨立的 SAFU 基金，用於應對黑客攻擊和其他突發事件。

DeFi 項目則沒有這樣的緩衝空間。一旦交易完成，協議資產即告消失，沒有迴旋餘地。最現實的追回路徑是與攻擊者談判，但攻擊者幾乎沒有談判意願。對於 Lazarus 等國家支持的團體，談判更是完全不可能。

傳統金融會在攻擊發生後引入機構力量，賬戶凍結、調查、保險和法律索賠會依次展開。Web3 中沒有任何權威機構能夠逆轉已確認的交易。項目偶爾會請求鏈層面干預來凍結資產，但凍結並不等於歸還。

核心限制依然存在：在 Web3 中，一旦出錯，就無法撤銷。

在機構時代如何說服機構

我們正處於機構時代。無論是否接受，機構都在主導市場方向，這一趨勢不可逆轉。

如果黑客攻擊持續發生、項目不斷崩盤，Web3 將拿不出任何東西提供給機構。機構對區塊鏈和 DeFi 的興趣已經很高。資產管理的運營效率、新型收益結構以及 7×24 小時市場，都是極具吸引力的特點。

但如果項目持續被黑並走向破裂，再誘人的效率提升和收益結構都將失去意義。無論技術優勢多麼顯著，底層資產必須安全。低於 10% 的追回率，仍然是機構投資者選擇觀望的最大原因之一。

一旦機構資本真正進入，市場規模將遠超當前水平。打開這扇大門的不是技術優勢，而是一個值得信賴的應對框架。行業能否在捍衛去中心化的同時成功說服機構，將決定 Web3 能否邁向下一個階段。

Web3 現在需要的不是哲學，而是為失敗而設計的結構，以及建立在問責制基礎上的運營機制。