加密安全專家指出,明年大多數加密貨幣漏洞利用不會是由你喜愛的協議中的零日漏洞引起的。而是由使用者自身行為造成的。
這是因為2025年的數據已經表明,大多數駭客攻擊並非始於惡意程式碼,而是始於一場對話,加密貨幣交易所Kraken的首席安全官Nick Percoco向Cointelegraph透露。
(攻擊者不是闖入系統,而是被邀請進來的。)
從2025年1月到12月初,Chainalysis的數據顯示,加密產業遭遇了超過340億美元的資金被盜,其中2月Bybit的安全漏洞佔總額的近一半。
在攻擊過程中,不法分子透過社交工程手段獲取存取權限,注入惡意JavaScript程式碼,使其得以修改交易細節並竊取資金。
什麼是社會工程?
社會工程是一種網路攻擊方法,通過操縱人們透露機密資訊或執行危害安全的行為。
Percoco表示,加密貨幣安全的戰場將會在思維中,而非網路空間。
(安全不再是建立更高的圍牆,而是訓練你的思維辨識操縱手段。目標應該很簡單:不要僅僅因為某人聽起來像是內部人員或在製造恐慌感,就將系統鑰匙交出去。)
技巧1:盡可能使用自動化
Percoco指出,供應鏈漏洞同樣已經證明是今年的關鍵挑戰,因為看起來微小的漏洞後續可能造成毀滅性後果,這是因為“整個體系就像數位疊疊樂,每一個模組的完整性都至關重要。”
在未來一年,Percoco建議透過盡可能實現防禦自動化以及透過身分驗證核實每次數位互動等措施來減少人為信任環節,從而“從被動防禦轉向主動預防”。
(加密貨幣安全的未來將由更智慧的身分驗證和AI驅動的威脅偵測系統塑造。我們正要進入一個系統能在使用者甚至是訓練有素的安全分析師意識到異常前就能識別出威脅的時代。)
(特別是在加密貨幣領域,最薄弱的環節仍然是人類的信任,這往往被貪婪和FOMO(錯失恐懼症)心理放大。這正是攻擊者每次利用的缺口。但沒有任何技術能取代良好的安全習慣,)他補充道。
技巧2:隔離基礎設施
慢霧科技的安全運營負責人Lisa指出,今年駭客愈來愈多地針對開發者生態系統發動攻擊,這與雲端憑證外洩現象結合,為注入惡意程式碼、竊取機密資訊及污染軟體更新創造了有利條件。
(開發者可以透過鎖定依賴版本、驗證套件完整性、隔離建置環境,以及在部署前審查更新來有效降低這些風險,)她強調。
展望2026年,Lisa預測最顯著的資安威脅可能來自日益複雜的憑證竊取與社會工程攻擊手法。
(威脅行為者已經開始利用AI生成的深度偽造技術、客製化釣魚攻擊,甚至偽造開發者面試測試來獲取錢包金鑰、雲端憑證以及簽章權杖。這些攻擊正變得更加自動化且具欺騙性,我們預期這一趨勢將持續發展,)她進一步說明。
為確保安全,Lisa建議各組織實施強而有力的存取控制、金鑰定期輪替、硬體支援的身分驗證、基礎設施分割以及異常偵測和監控系統。
個人用戶則應倚賴硬體錢包,避免與未經驗證的檔案互動,經由獨立管道交叉驗證身分,並對來路不明的連結或下載內容保持高度警覺。
技巧3:利用個人身分證明對抗AI深度偽造
區塊鏈資安公司Halborn聯合創辦人暨技術長Steven Walbroehl預測,AI強化型社會工程攻擊將在加密貨幣駭客攻擊手法庫中占有重要地位。
今年3月,至少有三位加密貨幣創辦人表示,他們成功阻止了據稱來自北韓駭客組織、透過深度偽造技術製作的虛假Zoom通話,企圖竊取敏感資料。
Walbroehl警告指出,駭客正利用AI創建高度個人化、情境感知的攻擊手法,有效繞過傳統的資安意識訓練防線。
為應對這些威脅,他建議對所有關鍵通訊實施加密的個人身分認證機制、配備生物特徵結合的硬體認證系統,建立針對正常交易模式進行基準分析的異常偵測系統,以及使用預先共享金鑰或特定口令建立驗證協議。
技巧4:保管好你的加密貨幣
扳手攻擊(即針對加密貨幣持有者的肢體攻擊)也成為2025年一大突出資安議題,根據比特幣元老暨密碼龐克Jameson Lopps於GitHub上的統計列表,今年至少記錄了65起此類事件。此前2021年牛市高峰期為史上最嚴峻的一年,總共記錄了36起攻擊事件。
前CIA官員、X平台用戶Beau於12月2日的貼文中表示,雖然扳手攻擊仍相對罕見,但他強烈建議加密貨幣用戶採取預防措施,首要原則是不在網路公開談論個人財富或透露加密貨幣持有及奢華生活方式。
他進一步建議用戶成為“難攻擊的目標”,可以透過使用資料去識別化工具隱藏個人私密資訊(如住家地址),並投資家庭安防系統,如安裝監控攝影機和警報裝置等措施。
技巧5:堅守經典安全原則不可懈怠
David Schwed,這位曾於Robinhood擔任首席資安長的資深資安專家指出,他的首要建議是選擇那些能顯示嚴格安全實踐的知名企業,這些機構應定期對其整個技術棧進行完整的第三方安全查核,包括智慧合約到基礎設施的各個層面。
然而,Schwed強調,無論採用何種技術,用戶都應避免在多個帳號中重複使用相同密碼,優先選用硬體安全令牌作為多重驗證方式,並用加密保護助記詞或儲存於安全的離線實體空間。
他進一步建議用戶針對大額資產採用專屬硬體錢包,並盡量減少在交易所內的資產存放量。
(安全核心在於互動層面。用戶在將硬體錢包連接至新網路應用時必須保持高度警覺,並在簽名前必須完整驗證硬體螢幕上顯示的交易資料。這樣能有效防止“盲簽”惡意合約的風險,)Schwed補充說。
Lisa表示,她的核心安全建議包括只用官方軟體,避免與未驗證的URL互動,並將資金分別存放於熱錢包、溫錢包與冷錢包配置中。
針對日益複雜的社會工程學與網路釣魚詐騙,Kraken的Percoco建議用戶始終保持“徹底的懷疑態度”,要透過驗證真實性,並將每則訊息視為安全意識測驗。
(有一條亙古不變的真理:任何合法的公司、服務或機會絕不會索取你的助記詞或登入憑證。一旦出現這種要求,你面對的就是詐騙者,)Percoco強調。
同時,Walbroehl推薦使用加密安全的隨機數產生器建立金鑰,嚴格分離開發與生產環境,定期進行安全審計,並制定資安事件應變計畫及定期演練。
