关于加密安全的叙事正在以行业未曾预料的方式发生转变。虽然2025年创下了有史以来最糟糕的加密黑客年份,但令人担忧的揭示并不在于复杂的智能合约漏洞或优雅的代码缺陷。而是在于190亿个被泄露的密码和Web2风格的运营失误——被盗的凭证、操控的员工、虚假的支持渠道——这些占据了绝大多数的损失。这种重新框架的意义深远,因为它暗示了一种反直觉的趋势:随着链上安全的加强,攻击者正在适应,开始针对任何系统中最容易的漏洞:人类。链上安全平台Immunefi的CEO米切尔·阿马多在一次独家访谈中明确指出了这一转变:“尽管2025年是有史以来黑客事件最严重的一年,但这些黑客攻击源于Web2的运营失误,而非链上代码。”这一区别直指加密行业不断演变的威胁格局。虽然2025年损失持续增加,但链上安全却出人意料地改善——这种背离很可能会定义下一代数字资产保护的格局。## 人为因素成为加密的最薄弱环节证据十分明确。2025年,通过诈骗和欺诈手段,约有170亿美元的加密货币被盗,冒充和AI辅助的方案成为极具破坏力的攻击手段。Chainalysis的2026年加密犯罪报告记录了攻击者行为的巨大转变:冒充诈骗同比激增1400%,而AI增强的方案比传统欺诈手段的利润高出450%。这并非空洞的说法——损失是具体的。就在上个月,区块链研究员ZachXBT曝光了一起价值2.82亿美元的社会工程学盗窃案,攻击者操控目标交出205万LTC和1459BTC。赃款立即通过注重隐私的即时兑换平台洗白成门罗币,彰显了运营安全失误在整个生态系统中的连锁反应。这些攻击尤其阴险的原因在于其低技术门槛。一封逼真的钓鱼邮件、一个伪造的支持代理,或被攻破的凭证都能绕过每一道防火墙和高端合约审计。流传在互联网暗角的190亿个被泄露密码,代表着不断扩展的攻击面——自动化防御难以全面应对。## 冒充和AI诈骗超越传统基础设施攻击犯罪的计算已发生变化。过去攻击者专注于寻找代币合约或第二层实现中的隐晦漏洞,现在他们更重视社会心理学和大规模操控。Chainalysis的数据揭示了这一根本性转变:诈骗和欺诈现已超过直接基础设施入侵,成为从加密生态系统中提取价值的主要途径。阿马多阐述了为何代码漏洞的利用性在下降:“随着代码变得不那么易被利用,2026年的主要攻击面将是人。”DeFi协议通过审计、悬赏计划和防御架构大幅提升了安全性,但这也带来了扭曲的激励——攻击者转而向更软的目标移动:个人用户、企业员工和运营流程。规模令人震惊。单是冒充诈骗就不再是欺诈中的一个类别,而是成为主要的威胁途径。结合AI支持的社会工程学,可以快速合成令人信服的虚假身份和个性化操控,针对个人的攻击变得比以往任何时候都更高效、更有利润。## 为什么智能合约安全无法阻止社会工程一个令人清醒的统计数据凸显了这个悖论:超过90%的加密项目仍存在关键的、可被利用的代码漏洞。然而,即使这个令人沮丧的现实,也掩盖了更深层次的真相。漏洞不在于未修补的合约,而在于写在便签上的钱包密码、被遗留在出租车里的U盘、点击恶意链接的员工。Chainalysis和Immunefi的研究结果共同揭示了一个令人不安的现实:能够大幅降低风险的防御工具仍被严重低估。行业中不到1%的项目部署了防火墙,少于10%的项目采用了AI驱动的检测系统。这些差距并非技术失败,而是组织层面的问题。现有的基础设施可以防止大部分定义2025年的运营灾难,但其采用率依然惨淡。阿马多以人为本的角度看待这一挑战:“人类因素现在成为链上安全专家和Web3玩家必须优先考虑的薄弱环节。”这并非夸张。一个被攻破的密码,与智能合约漏洞不同,不需要复杂的漏洞研究就能被利用。它是大规模的分发、由AI操控的操控,和人类心理的永恒可塑性。## AI军备竞赛:防御者与攻击者的机器速度较量如果2025年属于学习如何大规模利用人的犯罪分子,那么2026年将属于推动和应对这种利用的技术——以机器速度进行的攻防。“AI将改变双方的安全节奏,”阿马多解释。防御方将部署AI驱动的监控和响应系统,在毫秒内检测异常和阻止攻击。同时,攻击者也会使用相同的工具进行漏洞研究、利用工程和大规模社会工程学运动。这场军备竞赛带来了行业少有准备的风险类别。随着代码安全的加强,漏洞的前沿已从静态合约转向动态的人机界面。用户、钱包、交易所和协议之间的界面成为新的战场——在这里,AI既能实现前所未有的防御,也能带来前所未有的欺骗。## 链上代理引入新型漏洞阿马多指出的最具前瞻性的风险,超越了传统网络安全范畴。当自主链上代理和AI系统获得无需人为干预即可执行决策和转移资产的能力时,一个新型的攻击面出现了。“链上AI代理可以比人类操作员更快、更强大,如果其访问路径或控制层被破坏,它们也会变得极其脆弱,”他警告。这代表了风险的质的转变。以往的安全失误需要攻击者攻破钱包或交易所账户——具体、可识别的资产。而AI代理则以委托权限跨越协议和流动性池操作。只要攻破单一代理的控制层,攻击者就能以算法速度获得资金流的访问权限。“我们还处于学习如何正确保护代理的早期阶段,”阿马多承认,“这将成为下一周期的主要安全挑战之一。”## 未来之路:超越代码的安全安全专家们达成的共识令人震惊。链上安全明显在改善,但总损失仍在增加。这种表面上的矛盾在视角转向运营时得以解开。对手不是一个聪明的程序员找到重入漏洞,而是一个利用19亿被泄露密码、合成身份和心理操控,从个人身上提取价值的高级犯罪分子。加密行业的应对措施将决定2026年是否能扭转2025年的损失。它需要投资于防御性AI系统、企业级密码管理、多签控制和教育。它需要弥合那使99%的项目未能部署基本安全基础设施的差距。最根本的是,要认识到,即使是最强的密码学,如果人类判断、妥协和欺骗成为最薄弱的环节,也毫无意义。安全战斗不再只在链上展开,而是在用户界面、企业访问控制、监控面板,以及人类意图与自动执行之间的空间中进行。在这个战场上,结合技术先进性与操作纪律的阵营最终将取得胜利。
190亿被泄露的密码揭示了加密货币真正的安全问题不在代码——而在于人们
关于加密安全的叙事正在以行业未曾预料的方式发生转变。虽然2025年创下了有史以来最糟糕的加密黑客年份,但令人担忧的揭示并不在于复杂的智能合约漏洞或优雅的代码缺陷。而是在于190亿个被泄露的密码和Web2风格的运营失误——被盗的凭证、操控的员工、虚假的支持渠道——这些占据了绝大多数的损失。这种重新框架的意义深远,因为它暗示了一种反直觉的趋势:随着链上安全的加强,攻击者正在适应,开始针对任何系统中最容易的漏洞:人类。
链上安全平台Immunefi的CEO米切尔·阿马多在一次独家访谈中明确指出了这一转变:“尽管2025年是有史以来黑客事件最严重的一年,但这些黑客攻击源于Web2的运营失误,而非链上代码。”这一区别直指加密行业不断演变的威胁格局。虽然2025年损失持续增加,但链上安全却出人意料地改善——这种背离很可能会定义下一代数字资产保护的格局。
人为因素成为加密的最薄弱环节
证据十分明确。2025年,通过诈骗和欺诈手段,约有170亿美元的加密货币被盗,冒充和AI辅助的方案成为极具破坏力的攻击手段。Chainalysis的2026年加密犯罪报告记录了攻击者行为的巨大转变:冒充诈骗同比激增1400%,而AI增强的方案比传统欺诈手段的利润高出450%。
这并非空洞的说法——损失是具体的。就在上个月,区块链研究员ZachXBT曝光了一起价值2.82亿美元的社会工程学盗窃案,攻击者操控目标交出205万LTC和1459BTC。赃款立即通过注重隐私的即时兑换平台洗白成门罗币,彰显了运营安全失误在整个生态系统中的连锁反应。
这些攻击尤其阴险的原因在于其低技术门槛。一封逼真的钓鱼邮件、一个伪造的支持代理,或被攻破的凭证都能绕过每一道防火墙和高端合约审计。流传在互联网暗角的190亿个被泄露密码,代表着不断扩展的攻击面——自动化防御难以全面应对。
冒充和AI诈骗超越传统基础设施攻击
犯罪的计算已发生变化。过去攻击者专注于寻找代币合约或第二层实现中的隐晦漏洞,现在他们更重视社会心理学和大规模操控。Chainalysis的数据揭示了这一根本性转变:诈骗和欺诈现已超过直接基础设施入侵,成为从加密生态系统中提取价值的主要途径。
阿马多阐述了为何代码漏洞的利用性在下降:“随着代码变得不那么易被利用,2026年的主要攻击面将是人。”DeFi协议通过审计、悬赏计划和防御架构大幅提升了安全性,但这也带来了扭曲的激励——攻击者转而向更软的目标移动:个人用户、企业员工和运营流程。
规模令人震惊。单是冒充诈骗就不再是欺诈中的一个类别,而是成为主要的威胁途径。结合AI支持的社会工程学,可以快速合成令人信服的虚假身份和个性化操控,针对个人的攻击变得比以往任何时候都更高效、更有利润。
为什么智能合约安全无法阻止社会工程
一个令人清醒的统计数据凸显了这个悖论:超过90%的加密项目仍存在关键的、可被利用的代码漏洞。然而,即使这个令人沮丧的现实,也掩盖了更深层次的真相。漏洞不在于未修补的合约,而在于写在便签上的钱包密码、被遗留在出租车里的U盘、点击恶意链接的员工。
Chainalysis和Immunefi的研究结果共同揭示了一个令人不安的现实:能够大幅降低风险的防御工具仍被严重低估。行业中不到1%的项目部署了防火墙,少于10%的项目采用了AI驱动的检测系统。这些差距并非技术失败,而是组织层面的问题。现有的基础设施可以防止大部分定义2025年的运营灾难,但其采用率依然惨淡。
阿马多以人为本的角度看待这一挑战:“人类因素现在成为链上安全专家和Web3玩家必须优先考虑的薄弱环节。”这并非夸张。一个被攻破的密码,与智能合约漏洞不同,不需要复杂的漏洞研究就能被利用。它是大规模的分发、由AI操控的操控,和人类心理的永恒可塑性。
AI军备竞赛:防御者与攻击者的机器速度较量
如果2025年属于学习如何大规模利用人的犯罪分子,那么2026年将属于推动和应对这种利用的技术——以机器速度进行的攻防。“AI将改变双方的安全节奏,”阿马多解释。防御方将部署AI驱动的监控和响应系统,在毫秒内检测异常和阻止攻击。同时,攻击者也会使用相同的工具进行漏洞研究、利用工程和大规模社会工程学运动。
这场军备竞赛带来了行业少有准备的风险类别。随着代码安全的加强,漏洞的前沿已从静态合约转向动态的人机界面。用户、钱包、交易所和协议之间的界面成为新的战场——在这里,AI既能实现前所未有的防御,也能带来前所未有的欺骗。
链上代理引入新型漏洞
阿马多指出的最具前瞻性的风险,超越了传统网络安全范畴。当自主链上代理和AI系统获得无需人为干预即可执行决策和转移资产的能力时,一个新型的攻击面出现了。“链上AI代理可以比人类操作员更快、更强大,如果其访问路径或控制层被破坏,它们也会变得极其脆弱,”他警告。
这代表了风险的质的转变。以往的安全失误需要攻击者攻破钱包或交易所账户——具体、可识别的资产。而AI代理则以委托权限跨越协议和流动性池操作。只要攻破单一代理的控制层,攻击者就能以算法速度获得资金流的访问权限。“我们还处于学习如何正确保护代理的早期阶段,”阿马多承认,“这将成为下一周期的主要安全挑战之一。”
未来之路:超越代码的安全
安全专家们达成的共识令人震惊。链上安全明显在改善,但总损失仍在增加。这种表面上的矛盾在视角转向运营时得以解开。对手不是一个聪明的程序员找到重入漏洞,而是一个利用19亿被泄露密码、合成身份和心理操控,从个人身上提取价值的高级犯罪分子。
加密行业的应对措施将决定2026年是否能扭转2025年的损失。它需要投资于防御性AI系统、企业级密码管理、多签控制和教育。它需要弥合那使99%的项目未能部署基本安全基础设施的差距。最根本的是,要认识到,即使是最强的密码学,如果人类判断、妥协和欺骗成为最薄弱的环节,也毫无意义。
安全战斗不再只在链上展开,而是在用户界面、企业访问控制、监控面板,以及人类意图与自动执行之间的空间中进行。在这个战场上,结合技术先进性与操作纪律的阵营最终将取得胜利。