2025年8月5日,KuCoin發布了最新一期的《安全每週頻道》,突顯了Web3生態系統的一個令人警醒的現實。根據報告,該報告引用了區塊鏈安全公司SlowMist的數據,2025年7月的安全事件共造成約$147百萬的損失。這些數字不僅僅是令人沮喪的統計,更是嚴峻的提醒:在加密世界中,風險並非罕見現象,而是一個固有且多面性的現實,影響著每一位參與者,從開發者到普通用戶。
仔細分析當月的重大攻擊事件,揭示了三類明確的風險,這些風險共同定義了Web3的安全挑戰。
智能合約:Web3的雙刃劍Web3
的許多人認為,它的希望在於依賴不可變的代碼。然而,如7月的事件所示,一個邏輯上的小錯誤可能導致災難性後果。去中心化交易平台GMX因攻擊者利用其Keeper系統邏輯中的一個微妙漏洞,遭受了超過$42百萬的損失。攻擊者通過操控協議處理空頭倉位和價格更新的方式,成功地抬高了GLP的價格,從而從大規模贖回中獲利。
同樣,ZKSwap跨鏈橋攻擊導致了$5百萬的損失,這起事件源於一個根本性的缺陷。零知識證明機制——一項核心安全功能——實際上並未被驗證,這使得攻擊者能夠偽造提款證明並繞過系統最重要的安全檢查。SuperRare智能合約的案例進一步強調了這一點。該合約因在低層代碼中使用 != 而不是 == 而出現錯誤。[2] 這些攻擊突出了關鍵事實:在一個基於代碼的系統中,即使是微小的錯誤也可能造成重大的安全漏洞。
來源:@SlowMist_Team,發佈於X(Twitter)
從內部人員到鍵盤記錄程序:Web3攻擊面正在擴大
雖然程式碼通常是主要的焦點,但7月最令人震驚的趨勢是攻擊越來越具有針對性和精密性,目標是平台背後的人員。這正是集中式系統的漏洞真正暴露之處。CoinDCX駭客事件,造成4420萬美元的損失,並非直接攻擊其錢包,而是透過一名被入侵的軟體工程師發起的內部操作。攻擊者假冒自由招聘人員,在該員工的電腦上安裝了鍵盤記錄程式,竊取了他的登錄憑據,並進而取得交易所的內部系統訪問權限。隨後該工程師被逮捕,這表明了此類入侵的嚴重後果,而該事件也揭示了社交工程仍然是非常有效的攻擊手段。[1]
另一個例子是BigONE供應鏈攻擊,駭客滲透到該交易所的生產網絡,並更改其風控系統的運作邏輯,導致2700萬美元的損失。WOO X駭客事件,同樣因對一名團隊成員的針對性網絡釣魚攻擊,導致1400萬美元從九個用戶帳戶中被掏空。這些事件突顯出,無論交易所的冷錢包儲存多麼安全,其內部基礎設施和管理它的員工仍然構成一個巨大的攻擊面,並且越來越受到惡意行為者的關注。
來源:@SlowMist_Team 在 X(Twitter)上的分享
用戶驅動的風險:防線的最後一環
或許最令人惋惜的損失是那些因缺乏用戶教育和意識而造成的。報告中包括了一個令人心痛的故事:一名用戶損失了4.35BTC——一筆相當可觀的金額——因為在電商平台上從第三方賣家購買了一個假冒的冷錢包。該預先配置的設備是一個陷阱,設計用於在資金轉入後立即竊取資金。這個故事強烈提醒人們,安全性不僅僅是平台和協議的責任。
對於普通用戶而言,Web3 的風險是獨特的。他們並沒有像銀行那樣的保險或傳統欺詐部門的保護。該技術的去中心化特性使得個人需承擔大量的責任,這使得從購買硬體錢包到驗證交易詳情的一切都必須極為謹慎。
結論:共同的責任
2025年7月的安全事件,如KuCoin報告中所述,是對Web3固有風險的一個強有力總結。這些事件表明,生態系統正同時受到智能合約中的技術缺陷、針對中心化實體的人為攻擊,以及用戶意識持續缺乏的考驗。1.47億美元的損失為整個行業敲響了警鐘。這是一個明確的信號,表明安全性不能再被視為事後的考量。相反,它必須成為一項整合的、協作的努力,包括強有力的技術審計、嚴格的內部規範以及對用戶教育的廣泛承諾。只有解決這三個方面,行業才能希望構建一個真正安全且有韌性的數字未來。
參考資料
[1] FinanceFeeds - CoinDCX軟體工程師因涉及4400萬美元內部協助加密貨幣盜竊案被捕,2025年7月31日
[2] X(推特) - SlowMist TI警報,2025年7月28日(https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(推特) - 用戶通過非官方渠道購買冷錢包的黑客經歷,2025年7月29日(https://x.com/0xdizai/status/1949906538497528087)