加密货币盗取事件累计超170亿美元 私钥泄露成主要攻击手段
据数据平台DefiLlama统计,过去十年间全球共发生518起加密货币盗取事件,总金额超过170亿美元。其中,私钥泄露成为最严重的攻击向量,占比显着上升。
数据显示,22.3%的事件源于“暴力破解”私钥,18.2%为通过“未知方法”泄露,另有10%系通过钓鱼攻击针对多重签名钱包所致。这些数据表明,加密资产损失正越来越多地源于钱包安全、签名基础设施以及用户行为的漏洞,而不仅限于协议代码本身的缺陷。
2026年4月16日,Kelp DAO的LayerZero桥接系统遭受攻击,黑客盗取约11.65万枚restaked Ether(rsETH),当时价值约2.9亿美元至2.93亿美元,成为2026年迄今最大单笔加密货币盗取事件。
根据加密交易公司GSR于4月21日发布的报告,在过去60天内,去中心化金融(DeFi)协议共损失超6亿美元,其中Kelp DAO与Solana链上交易所Drift Protocol的漏洞事件占主要部分。
GSR指出,随着智能合约审计水平的提升,攻击者正转向“运营安全、签名基础设施、开发者工具及背后的人类因素”作为攻击目标。该报告同时指出,DeFi收益率已大幅压缩至接近传统金融水平,引发用户对“链上存款是否仍具风险价值”的质疑。
网络安全公司Hacken报告显示,2026年第一季度,Web3项目累计损失4.82亿美元,其中3.06亿美元来自钓鱼与社交工程诈骗,成为最大攻击向量。该公司联合创始人兼CEO Dyma Budorin在EthCC 2026期间表示,AI与恶意软件的发展正使社交工程攻击更易规模化,攻击者通过小额转账诱导用户复制粘贴攻击者地址,实现资金盗取。
Budorin强调,黑客通常选择“最容易得手”的目标,而暗网平台提供的“黑客即服务”工具正大幅降低攻击门槛。尽管Scam Sniffer在2025年1月报告中指出,加密货币钓鱼攻击损失显着下降,显示用户防范意识增强,但新型钱包盗取脚本与恶意软件仍在持续传播。
编辑点评
此次加密货币领域大规模盗取事件凸显了Web3生态中安全重心的结构性转移。过去,行业主要关注智能合约代码漏洞,但当前攻击者已转向对私钥管理、用户行为和运营流程的系统性渗透,说明安全防护需从技术层扩展到人机交互与组织管理层面。
从全球影响看,此类事件不仅直接冲击用户资产安全,更可能削弱市场对去中心化金融(DeFi)的信任基础。当大额资金屡遭盗取,尤其在收益率已趋近传统金融的背景下,投资者对链上资产的“风险-收益”评估将趋于保守,可能引发资本流出,影响DeFi生态发展。
AI与恶意软件的结合正降低攻击门槛,使“懒人式”诈骗规模化传播。这种趋势要求平台方加强用户教育、推广硬件钱包、完善多因素认证机制,并推动行业标准统一。若缺乏系统性应对,未来可能面临更频繁、更隐蔽的攻击浪潮。
长期来看,加密资产安全将不仅是技术问题,更是治理与合规挑战。监管机构或需介入推动行业安全审计框架,而企业则需在用户体验与安全之间找到新平衡点。