摘要:过去十年加密领域累计损失超170亿美元,攻击重心由智能合约转向私钥与凭证窃取。最新rsETH跨链桥遭袭事件凸显基础设施脆弱性,安全专家警示:人为环节已成为最大突破口。
币圈界报道:
加密资产十年累计损失逾170亿美元 攻击模式转向用户端薄弱点
据数据平台统计,近十年间共记录518起加密货币黑客攻击事件,总金额突破170亿美元。值得关注的是,损失根源正从早期的代码逻辑缺陷,逐步转移至私钥外泄、钓鱼诱导及身份凭证盗用等人为因素。
跨链桥梁安全危机持续升级 成重大资产流失温床
在已知损失中,约118亿美元来自跨链桥相关攻击,占比接近三成。近期Kelp DAO旗下rsETH跨链桥被攻破,导致11.65万枚rsETH(价值约2.9亿至2.93亿美元)被盗,成为年度最严重去中心化金融安全事故。
攻击路径演变:从代码漏洞到社会工程学渗透
早期攻击多依赖智能合约中的逻辑缺陷或闪电贷套利机制,而当前趋势显示,攻击者更倾向于瞄准生态中的“非技术软肋”——包括通过社交工程手段获取登录凭证、实施SIM卡劫持,或入侵用户设备以窃取私钥与签名信息。安全机构预测,未来将出现融合人工智能的高级钓鱼工具,甚至能误导具备技术背景的用户签署恶意交易。
链上伪造与单点信任架构引发系统性担忧
此次rsETH事件源于攻击者利用LayerZero协议在特定链路中伪造跨链消息,从而向受控地址凭空生成大量代币。该桥随即暂停服务,项目方与交易所启动应急响应。争议焦点集中于LayerZero采用的默认单验证者机制,批评者指出,单一密钥失效即可触发灾难性代币铸造,构成重大设计隐患。
用户操作失误仍为高发风险源
今年第一季度,黑客已从34个DeFi协议中非法提取约1.686亿美元,其中最大一笔损失(Step Finance协议4000万美元)可归因于私钥泄露,而非代码缺陷。这表明尽管智能合约审计日益成熟,攻击者已将目标转向钱包管理、工具链连接及人工操作环节。
面对新型威胁,仅依赖形式化验证与常规审计已难以为继。行业正在强化多重防护体系,包括使用硬件密钥、部署多签机制、配置独立签名设备、推行严格密钥生命周期管理,并加强反钓鱼意识培训。历史经验反复证明:一次疏忽的凭证暴露,足以在损失榜单上刻下一条九位数的警钟。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。