圍繞加密貨幣安全的敘事正在以業界未曾預料的方式轉變。儘管2025年創下了加密黑客史上最糟糕的一年,但令人擔憂的揭露並不在於高階智能合約的複雜漏洞或優雅的程式碼缺陷,而是在於19億個被破解的密碼以及Web2式的操作失誤——被盜的憑證、操控的員工、假冒支援渠道——這些佔據了絕大多數的損失。這種重新框架的意義深遠,因為它暗示了一個反直覺的事實:隨著鏈上安全的加強,攻擊者正透過針對任何系統中最容易的漏洞——人類。鏈上安全平台Immunefi的CEO Mitchell Amador在一次獨家對話中明確指出了這一轉變:「儘管2025年是史上最糟糕的黑客年,但這些黑客攻擊源自Web2的操作失誤,而非鏈上程式碼漏洞。」這個區分直指加密貨幣不斷演變的威脅格局。儘管2025年的損失持續增加,但鏈上安全卻出乎意料地改善——這種背離很可能會定義下一個數位資產保護的時代。## 人性成為加密貨幣的薄弱環節證據十分明確。2025年約有17億美元的加密貨幣被詐騙和欺詐手段竊取,冒充策略和AI輔助的詐騙方案成為極具破壞力的攻擊手段。Chainalysis的2026年加密犯罪報告記錄了一個震撼的攻擊者行為轉變:冒充詐騙激增了1,400%,而AI增強的詐騙比傳統詐騙的獲利高出450%。這並非抽象的問題——損害是具體的。僅在上個月,區塊鏈研究員ZachXBT曝光了一起價值2億8200萬美元的社交工程劫案,攻擊者操控目標交出2.05百萬LTC和1,459 BTC。這些贓款立即通過注重隱私的即時交易所洗白成門羅幣,展現了操作安全失誤如何在整個生態系統中層層傳遞。使這些攻擊尤為狡猾的是其低技術門檻。一封令人信服的釣魚郵件、一個假冒的支援代理,或被入侵的憑證都能突破每一道防火牆和高級合約審計所能提供的防護。流傳於網路暗角的19億個被破解的密碼,代表著一個不斷擴大的攻擊面——自動化防禦難以全面應對。## 冒充與AI詐騙超越傳統基礎設施攻擊犯罪的計算已經改變。過去攻擊者專注於尋找代幣合約或第二層實作中的隱晦漏洞,現在他們更重視社會心理學和大規模操控。Chainalysis的數據揭示了這一地殼變動:詐騙和欺詐已經超越直接的基礎設施入侵,成為從加密生態系統中提取價值的主要途徑。Amador進一步說明為何程式碼漏洞的利用性在下降:「隨著程式碼變得較不易被利用,2026年的主要攻擊面將是人。」DeFi協議已透過審計、獎勵計畫和防禦架構大幅提升安全性,但這也形成了一個扭曲的激勵結構——攻擊者轉而攻擊較為脆弱的目標:個人用戶、企業員工和操作流程。規模令人震驚。僅冒充詐騙就不僅是欺詐的一個類別,而是成為主導的威脅向量。再加上AI輔助的社會工程,能在機器速度下合成令人信服的合成身份和個人化操控,使得針對個人的攻擊變得比以往任何時候都更高效、更有利可圖。## 為何智能合約安全無法阻止社會工程一個令人清醒的統計數據凸顯了這個矛盾:超過90%的加密項目仍存在關鍵且可被利用的程式碼漏洞。然而,即使這個令人沮喪的現實掩蓋了一個更深層的真相:漏洞不在未修補的合約,而在於貼在便利貼上的錢包密碼、留在計程車裡的USB金鑰、點擊惡意連結的員工。Chainalysis與Immunefi的調查結果共同揭示了一個令人不安的現實。能大幅降低風險的防禦工具仍被嚴重低估。不到1%的業界部署了防火牆,少於10%實施了AI驅動的偵測系統。這些差距不是技術失誤,而是組織層面的問題。現有的基礎設施本可以預防2025年所定義的大多數操作災難,但採用率卻極低。Amador以人性角度來看待這個挑戰:「人性因素現在是鏈上安全專家和Web3玩家必須優先解決的薄弱環節。」這並非誇大。一個被破解的密碼,與智能合約漏洞不同,不需要高深的漏洞研究就能被利用。它是大規模傳播、由AI操控的操縱,和人類心理的永恆可塑性。## AI軍備競賽:防禦者與攻擊者的機器速度較量如果2025年屬於學習如何大規模利用人性的犯罪者,那麼2026年將屬於能在機器速度下啟用與反制這些操控的技術。「AI將改變雙方的安全節奏,」Amador解釋道。防禦者將部署AI驅動的監控與反應系統,在毫秒內偵測異常並阻擋攻擊。同時,攻擊者也會使用相同的工具進行漏洞研究、漏洞工程和大規模社會工程攻擊。這場軍備競賽引入了一個行業尚未充分準備的風險類別。隨著程式碼安全的加固,漏洞的前沿已從靜態合約轉向動態的人機界面。用戶、錢包、交易所與協議之間的界面成為新的戰場——在這裡,AI既能提供前所未有的防禦,也能實現前所未有的欺騙。## 鏈上代理引入新脆弱性Amador指出的最前瞻性風險或許超越了傳統的網路安全範疇。隨著自主鏈上代理和AI系統獲得在無人干預下執行決策和轉移資產的能力,一個新型的攻擊面出現了。「鏈上AI代理可以比人類操作者更快、更強大,如果其存取路徑或控制層被破壞,便會成為操控的獨特脆弱點,」他警告。這代表著一個質的轉變。過去的安全失誤需要攻擊者入侵錢包或交易所帳戶——具體且可辨識的資產。而AI代理則以授權方式跨越協議和流動性池運作。只要攻破一個代理的控制層,攻擊者就能以算法速度獲取資金流動。「我們仍處於學習如何正確保護代理的早期階段,」Amador承認,「這將是下一個周期中最具決定性的安全挑戰之一。」## 未來之路:超越程式碼的安全安全專家們形成了一個令人驚訝的共識:鏈上安全明顯在進步,但總損失仍在增加。這個矛盾在轉向操作層面時得以解開。對手不再是找到重入漏洞的聰明程式設計師,而是利用19億個被破解的密碼、合成身份和心理操控,從個人身上提取價值的高級犯罪分子。加密產業的應對將決定2026年是否能扭轉2025年的損失。這需要投資於防禦性AI系統、企業級密碼管理、多重簽名控制和教育。也需要縮小那個讓99%的項目未受基本安全基礎設施保護的採用差距。最根本的是,要認識到,即使是世界上最強的密碼學,如果人類判斷、妥協與欺騙是最薄弱的環節,也毫無意義。安全戰爭不再在鏈上進行,而是在用戶界面、企業存取控制、監控儀表板,以及人類意圖與自動執行之間的空隙中展開。在這個舞台上,結合技術精密與操作紀律的那一方,最終將取得勝利。
19億被泄露的密碼揭示了加密貨幣真正的安全問題不在於程式碼——而在於人們
圍繞加密貨幣安全的敘事正在以業界未曾預料的方式轉變。儘管2025年創下了加密黑客史上最糟糕的一年,但令人擔憂的揭露並不在於高階智能合約的複雜漏洞或優雅的程式碼缺陷,而是在於19億個被破解的密碼以及Web2式的操作失誤——被盜的憑證、操控的員工、假冒支援渠道——這些佔據了絕大多數的損失。這種重新框架的意義深遠,因為它暗示了一個反直覺的事實:隨著鏈上安全的加強,攻擊者正透過針對任何系統中最容易的漏洞——人類。
鏈上安全平台Immunefi的CEO Mitchell Amador在一次獨家對話中明確指出了這一轉變:「儘管2025年是史上最糟糕的黑客年,但這些黑客攻擊源自Web2的操作失誤,而非鏈上程式碼漏洞。」這個區分直指加密貨幣不斷演變的威脅格局。儘管2025年的損失持續增加,但鏈上安全卻出乎意料地改善——這種背離很可能會定義下一個數位資產保護的時代。
人性成為加密貨幣的薄弱環節
證據十分明確。2025年約有17億美元的加密貨幣被詐騙和欺詐手段竊取,冒充策略和AI輔助的詐騙方案成為極具破壞力的攻擊手段。Chainalysis的2026年加密犯罪報告記錄了一個震撼的攻擊者行為轉變:冒充詐騙激增了1,400%,而AI增強的詐騙比傳統詐騙的獲利高出450%。
這並非抽象的問題——損害是具體的。僅在上個月,區塊鏈研究員ZachXBT曝光了一起價值2億8200萬美元的社交工程劫案,攻擊者操控目標交出2.05百萬LTC和1,459 BTC。這些贓款立即通過注重隱私的即時交易所洗白成門羅幣,展現了操作安全失誤如何在整個生態系統中層層傳遞。
使這些攻擊尤為狡猾的是其低技術門檻。一封令人信服的釣魚郵件、一個假冒的支援代理,或被入侵的憑證都能突破每一道防火牆和高級合約審計所能提供的防護。流傳於網路暗角的19億個被破解的密碼,代表著一個不斷擴大的攻擊面——自動化防禦難以全面應對。
冒充與AI詐騙超越傳統基礎設施攻擊
犯罪的計算已經改變。過去攻擊者專注於尋找代幣合約或第二層實作中的隱晦漏洞,現在他們更重視社會心理學和大規模操控。Chainalysis的數據揭示了這一地殼變動:詐騙和欺詐已經超越直接的基礎設施入侵,成為從加密生態系統中提取價值的主要途徑。
Amador進一步說明為何程式碼漏洞的利用性在下降:「隨著程式碼變得較不易被利用,2026年的主要攻擊面將是人。」DeFi協議已透過審計、獎勵計畫和防禦架構大幅提升安全性,但這也形成了一個扭曲的激勵結構——攻擊者轉而攻擊較為脆弱的目標:個人用戶、企業員工和操作流程。
規模令人震驚。僅冒充詐騙就不僅是欺詐的一個類別,而是成為主導的威脅向量。再加上AI輔助的社會工程,能在機器速度下合成令人信服的合成身份和個人化操控,使得針對個人的攻擊變得比以往任何時候都更高效、更有利可圖。
為何智能合約安全無法阻止社會工程
一個令人清醒的統計數據凸顯了這個矛盾:超過90%的加密項目仍存在關鍵且可被利用的程式碼漏洞。然而,即使這個令人沮喪的現實掩蓋了一個更深層的真相:漏洞不在未修補的合約,而在於貼在便利貼上的錢包密碼、留在計程車裡的USB金鑰、點擊惡意連結的員工。
Chainalysis與Immunefi的調查結果共同揭示了一個令人不安的現實。能大幅降低風險的防禦工具仍被嚴重低估。不到1%的業界部署了防火牆,少於10%實施了AI驅動的偵測系統。這些差距不是技術失誤,而是組織層面的問題。現有的基礎設施本可以預防2025年所定義的大多數操作災難,但採用率卻極低。
Amador以人性角度來看待這個挑戰:「人性因素現在是鏈上安全專家和Web3玩家必須優先解決的薄弱環節。」這並非誇大。一個被破解的密碼,與智能合約漏洞不同,不需要高深的漏洞研究就能被利用。它是大規模傳播、由AI操控的操縱,和人類心理的永恆可塑性。
AI軍備競賽:防禦者與攻擊者的機器速度較量
如果2025年屬於學習如何大規模利用人性的犯罪者,那麼2026年將屬於能在機器速度下啟用與反制這些操控的技術。「AI將改變雙方的安全節奏,」Amador解釋道。防禦者將部署AI驅動的監控與反應系統,在毫秒內偵測異常並阻擋攻擊。同時,攻擊者也會使用相同的工具進行漏洞研究、漏洞工程和大規模社會工程攻擊。
這場軍備競賽引入了一個行業尚未充分準備的風險類別。隨著程式碼安全的加固,漏洞的前沿已從靜態合約轉向動態的人機界面。用戶、錢包、交易所與協議之間的界面成為新的戰場——在這裡,AI既能提供前所未有的防禦,也能實現前所未有的欺騙。
鏈上代理引入新脆弱性
Amador指出的最前瞻性風險或許超越了傳統的網路安全範疇。隨著自主鏈上代理和AI系統獲得在無人干預下執行決策和轉移資產的能力,一個新型的攻擊面出現了。「鏈上AI代理可以比人類操作者更快、更強大,如果其存取路徑或控制層被破壞,便會成為操控的獨特脆弱點,」他警告。
這代表著一個質的轉變。過去的安全失誤需要攻擊者入侵錢包或交易所帳戶——具體且可辨識的資產。而AI代理則以授權方式跨越協議和流動性池運作。只要攻破一個代理的控制層,攻擊者就能以算法速度獲取資金流動。「我們仍處於學習如何正確保護代理的早期階段,」Amador承認,「這將是下一個周期中最具決定性的安全挑戰之一。」
未來之路:超越程式碼的安全
安全專家們形成了一個令人驚訝的共識:鏈上安全明顯在進步,但總損失仍在增加。這個矛盾在轉向操作層面時得以解開。對手不再是找到重入漏洞的聰明程式設計師,而是利用19億個被破解的密碼、合成身份和心理操控,從個人身上提取價值的高級犯罪分子。
加密產業的應對將決定2026年是否能扭轉2025年的損失。這需要投資於防禦性AI系統、企業級密碼管理、多重簽名控制和教育。也需要縮小那個讓99%的項目未受基本安全基礎設施保護的採用差距。最根本的是,要認識到,即使是世界上最強的密碼學,如果人類判斷、妥協與欺騙是最薄弱的環節,也毫無意義。
安全戰爭不再在鏈上進行,而是在用戶界面、企業存取控制、監控儀表板,以及人類意圖與自動執行之間的空隙中展開。在這個舞台上,結合技術精密與操作紀律的那一方,最終將取得勝利。