一份新的行业报告显示,尽管整个行业的安全支出创下历史新高,但造成 Web3 损失的主要是人为攻击,而不是技术漏洞。
安全公司Kerberus报告《人为因素:为什么实时保护是 Web3 安全中缺失的一环》估计,2025 年 1 月至 6 月期间,通过黑客攻击和诈骗窃取的金额超过 31 亿美元。其中,超过 6 亿美元来自直接针对用户的网络钓鱼、钱包入侵和社会工程攻击,dent不是利用区块链代码。
这些数据包括了价值 14.6 亿美元的 Bybit 交易所数据泄露事件,这是迄今为止最大的加密货币盗窃案。Kerberus 指出,即使将 Bybitdent 作为异常值排除在外,人为攻击仍然是整个加密货币生态系统损失的重要来源。
该报告重点指出Kerberus所描述的Web3安全领域资源分配的根本性缺陷。根据该公司的分析,大部分安全支出仍然流向攻击发生前(例如审计和漏洞测试)或资金已被盗后(例如取证和dent 响应)的工具。Kerberus认为,这在用户批准交易的短暂窗口期内留下了关键漏洞,而攻击者正日益利用这一时刻,因为此时安全防护几乎形同虚设。尽管与网络钓鱼、钱包窃取和社交工程相关的损失不断增加,但实时防护在现有解决方案中所占比例仍然很小。
报告的主要发现
根据这项研究:
- 44% 加密货币盗窃案大多源于私钥管理不善。
- 60% 更广泛的网络安全漏洞涉及人为错误。
- 90% 被利用的智能trac在遭到攻击之前都通过了安全审计。
- 网络钓鱼的点击率仍然在7% 到 15%。
报告指出,这些模式持续存在,是因为大多数 Web3 安全支出都用于代码审计和dent 分析,而攻击者则越来越专注于在钱包交互过程中操纵用户。
Kerberus 的领导团队指出,现有的大多数工具完全在交易窗口之外运行。这些系统在保障代码安全和分析安全漏洞方面发挥着重要作用,但它们无法解读用户意图,也无法在钱包层面扫描实时交易。Kerberus 强调,要提供这种级别的保护,需要复杂的实时检测基础设施,能够在不到一秒的时间内完成深度扫描,且不会中断用户体验——这是一项技术难度极高的挑战,也解释了为什么目前只有极少数服务提供商能够提供真正的实时防御。
实时保护仍然有限。
Kerberus 对 61 家活跃的 Web3 安全提供商进行了审查,发现:
- 87% 采取预防性措施,重点关注审计或事后dent
- 只有13% 的系统提供实时、交易级别的防御,可以在批准之前阻止恶意行为。
报告指出,这种分布有助于解释为什么即使“实时”解决方案的数量不断增加,损失仍然居高不下:许多提供商都在推销实时功能,但很少有提供商在钱包级别提供交易阻止功能。
报告中列举的例子
其中一个案例是一位美国投资者,尽管多年来一直妥善保管资金,却在一次电话社交工程攻击中被骗,损失了价值 3.3 亿美元的 Bitcoin 。另一部分则指出,被入侵的网站、被黑的社交媒体账户和被操纵的 Discord 服务器正成为窃取钱包资金的日益增多的渠道。
对该行业的影响
作者认为,当前模式——即要求用户dent评估风险、验证链接并识别网络钓鱼——会造成可预见的故障点。他们指出,频繁的安全提示会导致“警报疲劳”,使用户更容易批准恶意交易。
报告总结认为,更广泛地采用实时、自动化的交易筛选对于减少损失和支持 Web3 平台的主流使用至关重要。
