關鍵要點:
2025年上半年被盜金額超過240億美元,已超越2024年全年總額。
日常陷阱如網絡釣魚、有害授權和假“支持”造成的損害超過複雜的漏洞利用。
強大的雙重身份驗證、謹慎簽名、冷熱錢包分離和清潔設備可顯著降低風險。
擁有回暖計劃——包括撤銷工具、支持聯繫人和報告門戶——可以將錯誤轉變為挫折而非災難。
據安全公司記錄,2025年上半年加密貨幣駭客事件持續增加,被盜金額超24億,涉及300餘起事件,已超過2024年全年總額。
據相關調查,該重大事件為朝鮮團體所為的Bybit盜竊案,推高了整體數據,但不應成為唯一關注點。
絕大多數日常損失仍源於簡單陷阱:釣魚鏈接、惡意錢包授權、SIM卡交換和虛假“客服”帳號。
值得慶幸的是,普通用戶無需成為網絡安全專家,也能有效提升安全性。幾個核心習慣(只需幾分鐘即可完成設置)即可顯著降低風險。
以下是2025年最值得關注的七大安全習慣。
1. 放棄短信:在各處使用抗釣魚的雙重身份驗證
如果你仍通過短信驗證碼保護帳戶,安全風險極高。
SIM卡交換攻擊依舊是犯罪分子盜取錢包的常見手段,檢方不斷查扣與此相關的數百萬資產。
更安全的選擇是採用抗釣魚雙重身份驗證(2FA,雙重身份驗證),如硬體安全密鑰或平台通行密鑰。
優先保護最關鍵的登錄入口:郵箱、交易所和密碼管理器。
據美國網絡安全機構如網絡安全與基礎設施安全局強調,此舉能阻止釣魚和“推送疲勞”詐騙,從而繞過較弱的多重身份驗證(MFA,多因素認證)。
建議使用長且獨特的密碼短語(長度比複雜度更重要)。將備用驗證碼離線保存,並在交易所中設置提幣白名單,僅允許資金轉至你控制的地址。
值得注意的是,2025年上半年針對加密用戶的釣魚攻擊增長了40%,虛假交易所網站成為主要渠道。
2. 簽名安全:防止資金被盜和惡意授權
大多數人損失資金並非因高端漏洞,而是一次錯誤簽名。
錢包盜取者誘使你授予無限權限或批准欺騙性交易。例如,“setApprovalForAll”(即設置全部授權)、“Permit/Permit2”(許可/許可2)或無限“approve”。一旦簽名,駭客可以反覆轉走資金,無需再次獲得授權。
最佳防禦是放慢操作速度:仔細閱讀每個簽名請求,尤其是上述情況。
嘗試新去中心化應用(DApp)時,可以考慮用臨時錢包進行鑄造或高風險操作,主資產應存放於獨立保險庫。定期用Revoke.cash等工具撤銷未使用的授權,操作簡單且只需少量手續費。
據研究人員追蹤,盜取者導致的盜竊案件急劇增加,尤其是在移動端。良好簽名習慣能有效阻斷風險鏈條。
3. 熱錢包與冷錢包:分離支出與儲蓄
管理錢包的方式應當像管理銀行帳戶一樣。
熱錢包如同支票帳戶——適合日常消費和應用互動。
硬體錢包或多重簽名錢包則是保險庫——專為長期安全存儲設計。
將私鑰離線存儲幾乎能消除所有惡意軟體和危險網站威脅。
長期儲蓄時,請將助記詞寫在紙張或鋼板上:切勿存於手機、電腦或雲端。
在轉入大額資金前,用少量資金測試恢復流程,確保安全。如有能力管理更高安全性,可考慮添加BIP-39密碼,但丟失密碼即永久失去訪問權限。
對於大額資產或多人管理的資金池,多重簽名錢包可要求兩到三台獨立設備共同簽名才能批准交易,大幅提升安全性。
值得注意的是,2024年私鑰洩露占所有加密資產盜竊案的43.8%。
4. 設備與瀏覽器安全
設備配置與錢包安全同樣重要。
系統和應用更新可修復攻擊者利用的漏洞,請為操作系統、瀏覽器和錢包應用開啟自動更新,並按需重啟。
盡量減少瀏覽器插件數量——多起重大盜竊事件均因插件被劫持或惡意插件導致。專用瀏覽器或獨立瀏覽器配置用於加密操作,有助於防止cookies、會話和登錄信息洩露到日常瀏覽環境。
硬體錢包用戶應默認關閉盲簽功能,因為該功能會隱藏交易詳情,一旦被欺騙可能帶來不必要的風險。
此外,盡量在乾淨的桌面設備上處理敏感操作,避免使用安裝大量應用的手機。力求最簡潔、最新的設備配置,最大程度減少攻擊面。
5. 發送前核實:地址、網絡、合約
最容易損失加密資產的方法就是轉錯地址。發送前務必核對收款地址和網絡。
首次轉帳建議先小額測試(多付點手續費可換來安心)。如涉及代幣或非同質化代幣(NFT),請通過項目官方頁面、CoinGecko等權威聚合器及Etherscan等區塊瀏覽器核實合約。
與任何合約互動前,優先查驗代碼或所有權認證標識。切勿手動輸入錢包地址——始終複製粘貼,並核對首尾字符,防止剪貼板被篡改。避免直接從交易歷史中複製地址,因塵埃攻擊或偽造記錄可能誘使你重複使用被攻陷地址。
對“空投領取”類網站要格外警惕,尤其是要求異常授權或跨鏈操作時。如有疑慮,暫停並通過項目官方渠道核實鏈接。如已授權可疑合約,務必立即撤銷授權後再繼續操作。
6. 社會工程防禦:戀愛、任務、冒充
最大的加密騙局往往依靠人性而非技術。
戀愛和“殺豬盤”騙局通過偽造關係並展示虛假交易平台利潤,誘使受害者不斷加大投入或支付虛構“解鎖費”。
招聘類騙局通常始於WhatsApp或Telegram上的友好消息,先以微任務和小額獎勵吸引,隨後演變為存款騙局。冒充“客服人員”的騙子可能要求你共享螢幕或誘騙獲取助記詞。
辨別方法始終如一:真實客服絕不會索要你的私鑰,不會引導你訪問仿冒網站,也不會要求通過比特幣ATM或禮品卡付款。發現這些風險信號應立即斷絕聯繫。
值得注意的是,2024年“殺豬盤”騙局的充值次數同比增長約210%,但每次充值平均金額下降。
7. 恢復準備:讓錯誤可控
再謹慎的人也會犯錯。災難與挫折的區別在於提前準備。
離線保存一份“應急卡”,列明關鍵恢復資源:已認證的交易所客服鏈接、可信的授權撤銷工具和官方舉報渠道,如聯邦貿易委員會和FBI互聯網犯罪投訴中心(IC3)。
如出現問題,報告中應包含交易哈希、錢包地址、金額、時間戳和截圖。據調查人員介紹,這些信息常用於關聯多個案件。
雖然資金可能無法立即追回,但有預案可以將損失控制在可承受範圍內。
最壞情況發生時:後續應對方法
如誤點惡意鏈接或錯發資金,請迅速行動。將剩餘資產轉入你完全掌控的新錢包,然後用Etherscan Token Approval Checker或Revoke.cash等可信工具撤銷舊權限。
修改密碼,切換為抗釣魚2FA,退出其他所有會話,並檢查郵箱設置,確認無異常轉發或過濾規則。
隨後升級處理:聯繫交易所標記目標地址,並向IC3或本地監管機構提交報告。報告中應包含交易哈希、錢包地址、時間戳和截圖。據調查人員介紹,這些信息有助於關聯案件,即使追回資金需要時間。
核心教訓很明確:七大安全習慣(強MFA、謹慎簽名、冷熱錢包分離、設備安全、轉帳前核查、警惕社會工程和恢復預案)可防範絕大多數日常加密風險。
從小處著手:先升級你的2FA並優化簽名習慣,逐步完善。現在的準備能幫你在2025年避免災難性損失。