区块链安全:威胁、漏洞、防御
2025年被盗金额高达34亿美元。其中大部分并非源于密码学漏洞。区块链网络及其账本技术很少在协议层面出现故障。真正频频出现故障的是围绕它们构建的系统——钱包、签名界面、开发者机器、供应链等等。Chainalysis追踪到去年约20亿美元的损失与朝鲜有关联的犯罪分子有关,仅2025年2月的Bybit盗窃案就造成了15亿美元的损失。一次事件,却占了全年的三分之二。模式始终如一:密码学和共识机制运转良好;但密钥管理、签名流程、智能合约逻辑以及人为操作却漏洞百出。
本指南展望了2026年区块链安全格局,阐述了区块链安全的实际运作方式,分析了2022年至2025年重大安全事件中的漏洞,以及防御团队在智能合约、密钥托管、网络层威胁、审计、监管和前沿研究等领域的工作内容。当前针对区块链系统的威胁和漏洞,构成了所有关于区块链安全讨论的实用基准。
2026 年区块链安全会是什么样子?
区块链安全是指对如何确保分布式账本防篡改、共识机制诚实以及账本所代表的资产始终处于所有者控制之下的实际研究。该术语涵盖了从密码学和信息安全到整个区块链生态系统运营最佳实践的方方面面。自 2018 年以来,美国国家标准与技术研究院 (NIST) 内部报告 8202 一直是美国政府的区块链安全基础框架,它围绕三大支柱构建了该领域:哈希函数和非对称密钥等密码学原语、共识协议以及链的权限模型。该框架至今仍然有效。共识安全归根结底取决于篡改历史的经济和计算成本。在工作量证明 (PoW) 机制中,控制超过 50% 算力的攻击者可以重组区块链或进行双花攻击。在权益证明 (PoS) 机制中,类似的威胁是针对 Casper FFG 最终性的三分之一或三分之二权益攻击。比特币使用概率最终性(以六次确认作为启发式方法)。以太坊在区块生成后大约 12.8 分钟达到经济最终性。
区块链的类型及其对安全性的影响
不同类型的区块链运行不同的安全模型。每种模型内置的信任假设本身就是其安全模型。像比特币、以太坊、Solana 和 Sui 这样的公共区块链网络将分布式网络中的任何节点都视为潜在的验证者。加密货币奖励确保每个矿工和质押者都诚实守信。节点数量没有上限。区块链的安全性通过算力或质押资本来保障。NISTIR 8202 标准对此有明确的规定。无需许可的共识机制通过奖励符合协议的区块发布者原生加密货币来促进非恶意行为。抗审查性和全球访问能力——通过增加攻击面来保障。开放的节点集意味着开放的女巫攻击面,而经济安全性则与底层代币的价格挂钩。
许可型区块链或联盟链(例如 Hyperledger Fabric、R3 Corda 和 ConsenSys Quorum)以经过验证的身份取代了经济激励。验证者集合规模较小,类似拜占庭容错(BFT)的协议可实现即时最终性,访问控制则限制了谁可以读取、写入或验证交易。但这种权衡也存在另一个方面:小型区块链联盟速度更快、成本更低,但如果联盟成员串通或遭到攻击,则会引入单点故障。混合型区块链则结合了两者的元素,采用公开结算和私有许可机制。
到2026年,大多数企业分布式账本技术和区块链技术都将处于这个光谱的某个位置。私有区块链在金融服务领域常用于分支机构间的结算,而公共区块链则承载零售和去中心化金融(DeFi)的交易。真正的问题不在于哪种类型的区块链在理论上更安全,而在于其架构旨在防御哪种威胁模型。在金融服务行业运行私有区块链的银行不需要抵御51%攻击,它需要的是基于角色的访问控制、审计日志和灾难恢复机制,以确保数据的可用性。公共DeFi协议则需要相反的优先级,区块链结算的安全性比正常运行时间服务级别协议(SLA)更为重要。
2022-2026 年重大区块链攻击和事件
事件表展现了区块链攻击的演变历程。2022年,桥接攻击和验证器密钥泄露攻击占据主导地位;2025年,中心化交易所攻击和签名流攻击则成为主要攻击目标。
| 事件 | 日期 | 损失 | 攻击向量 |
|---|---|---|---|
| 浪人桥 | 2022年3月 | 6.25亿美元 | 验证器密钥泄露(9 个密钥泄露事件中已发生 5 个) |
| 虫洞 | 2022年2月 | 3.25亿美元 | 签名验证缺陷 |
| 游牧桥 | 2022年8月 | 1.9亿美元 | 副本初始化故障 |
| DMM比特币 | 2024年5月 | 3.05亿美元 | 私钥泄露(TraderTraitor / Lazarus) |
| WazirX | 2024年7月 | 2.35亿美元 | 多重签名钱包操纵 |
| 拜比特 | 2025年2月 | 15亿美元 | 冷钱包签名期间的安全{Wallet} UI注入 |
| Cetus DEX(瑞士) | 2025年5月 | 2.23亿美元 | u256 定点数学中的 `checked_shlw` 溢出 |
Cetus漏洞事件充分说明了原始的数学错误如何在生产环境中持续存在。SlowMist的分析报告描述了攻击者如何精准地选择参数,利用`checked_shlw`移位操作的漏洞,仅用一个代币就抽走了价值约2.23亿美元的流动性。Chainalysis 2025年中期报告预测,到第二季度,损失将达到21.7亿美元,其中中心化服务攻击占第一季度总损失的88%。2025年三分之二的美元损失集中在单一事件中;朝鲜民主主义人民共和国的攻击者已从合约转向上游运营商;过去两年中最昂贵的故障并非Solidity中的零日漏洞,而是围绕合法签名者的人工和用户界面攻击。
Bybit黑客事件:2025年区块链安全案例
2025 年 2 月的 Bybit 盗窃案堪称区块链安全在 2026 年失效的典型案例。NCC Group 的事后分析报告详细描述了攻击者如何入侵 Safe{Wallet} 中的一台开发人员机器,利用该权限将恶意 JavaScript 代码注入多重签名界面,并在内部签名者看到屏幕上显示的是合法目标的情况下,篡改了授权交易。Bybit 冷钱包是一个 3-of-N Safe,这种配置在大多数机构安全团队看来都是可以接受的。签名者以为这是一笔例行转账,但区块链却执行了攻击者的交易。
这些教训远不止“改进操作”那么简单。首先,如果用户授权了恶意载荷,硬件钱包无法防止盲签名。其次,当用户界面本身成为信任边界时,多重签名是必要的,但并非充分条件。第三,整个信任链现在延伸至签名者的显示软件、底层前端、构建该前端的开发人员机器以及软件包供应链。NCC Group 建议的缓解措施包括:签名前的交易模拟、在独立设备上进行原始数据验证、强制延迟大额提现以及使用能够解码调用数据以供人工审核的签名者硬件。Trail of Bits 在 2025 年 6 月的回顾报告也印证了这一点:在当年的重大损失中,最常见的根本原因并非智能合约漏洞,而是私钥泄露及其相关的操作失误。
智能合约风险:OWASP十大风险
OWASP智能合约十大漏洞(2025版)根据漏洞在前一年造成的损失进行排名。访问控制漏洞以9.53亿美元的损失位居榜首;逻辑错误以6380万美元的损失位居第二;重入攻击和闪电贷攻击位列第四。
| 秩 | 类别 | 2024年损失 |
|---|---|---|
| 1 | 访问控制 | 9.532亿美元 |
| 2 | 逻辑错误 | 6380万美元 |
| 3 | 重新进入 | 3570万美元 |
| 4 | 闪电贷攻击 | 3380万美元 |
| 5 | 缺乏输入验证 | 1460万美元 |
| 6 | 价格预言机操纵 | 880万美元 |
| 7 | 未检查的外部呼叫 | 55万美元 |
Trail of Bits 的 Slither 用于静态分析,Echidna 用于属性模糊测试,Manticore 用于符号执行,这些工具仍然是实用的基准;SWC 注册表对底层漏洞类别进行了编目。2025 年 OWASP 更新将价格预言机操纵和闪电贷攻击从逻辑错误中分离出来,并将其归类为不同的类别,同时将时间戳依赖性和 Gas 限制问题从逻辑错误类别中移除。
密码学与量子视界
公链依赖于少量加密原语。比特币使用 SHA-256,以太坊使用 Keccak-256,较新的链使用 BLAKE2 和 BLAKE3。签名方面:比特币和以太坊使用基于 secp256k1 的 ECDSA,Solana、Sui 和 Cosmos 使用 Ed25519,以太坊共识聚合使用 BLS12-381。2024 年 8 月,威胁形势发生了变化。美国国家标准与技术研究院 (NIST) 最终确定了三项后量子标准:FIPS 203 ML-KEM、FIPS 204 ML-DSA 和 FIPS 205 SLH-DSA。FIPS 206 (FN-DSA) 仍在草案阶段。
Vitalik Buterin 在 2024 年的以太坊研究报告中提出了另一种防御方案:硬分叉到量子盗窃事件发生前的最后一个区块;冻结基于 ECDSA 的外部账户;允许持有者通过基于 BIP-32 种子的 STARK 验证来证明所有权。他认为,在 2030 年前出现具有密码学意义的量子计算机的可能性约为 20%。他于 2026 年 2 月发布的路线图目标是基于哈希的验证者签名和 EIP-8141 钱包的灵活性。抗量子签名聚合需要在威胁出现之前就开发出可用于生产环境的工具,而不是之后。
密钥管理和加密安全架构
2024-2025 年的大部分损失都源于托管环节。2026 年,加密安全架构几乎没有变化。热钱包速度快,但也容易受到攻击。冷钱包理论上很强大。Bybit 被盗事件证明,签名界面本身现在也成了攻击面。多重签名(Gnosis Safe)在 EVM 托管领域占据主导地位。Fireblocks、Coinbase Custody 和 Copper 提供的 MPC 阈值签名服务消除了单密钥风险,但无法消除运营商串通或签名流程篡改的风险。符合 FIPS 140-2 和 140-3 标准的硬件安全模块仍然是热钱包轮换的机构标准。ERC-4337 下的账户抽象带来了会话密钥、社交恢复和无种子注册功能,同时也扩大了验证和执行面。
缓解措施仅部分奏效。例如,预签名交易模拟、在独立设备上进行原始数据验证、强制延迟大额提款以及使用可解码调用数据的签名器硬件。但其基本原则并未改变:私钥始终处于受控状态,且每次签名事件在提交到区块链之前都会经过独立权威来源的验证。
网络层威胁:女巫攻击和 MEV
Sybil 攻击是指以低成本创建假名身份来干扰点对点系统;无需许可的网络虽然设计上针对此类攻击,但无法完全免疫。Eclipse 攻击建立在 Sybil 攻击的基础上:Heilman、Kendler、Zohar 和 Goldberg 在 2015 年 USENIX 会议上发表的论文表明,可以通过垄断对等节点槽位来隔离比特币节点;2025 年的研究则通过污染发现表,实现了对以太坊执行层节点的端到端 Eclipse 攻击。BGP 劫持(Erebus 式)在自治系统层运行,并在流量到达应用程序之前将其重定向。目前经济活动最活跃的层是 MEV:ESMA 2025 年 7 月的风险分析和 Flashbots 的数据显示,大约 90% 的以太坊区块是通过 MEV-Boost 构建的,而到 2025 年 10 月,通过 MEV-Boost 进行区块提取的收入将从 2024 年底接近 1000 万美元的峰值下降到每月约 250 万美元。
审计和正式核实
2026 年的审计成本范围是可以预测的。小型 ERC-20 或 ERC-721 协议的审计成本在 1 万至 5 万美元之间。典型的 DeFi 协议的审计成本在 8 万至 25 万美元之间。新型 Rollup、零知识证明电路和 L1 组件的审计成本在 30 万至 50 万美元以上。2026 年的顶级审计公司包括:Trail of Bits、OpenZeppelin、ConsenSys Diligence、CertiK、Halborn、Spearbit and Cantina、Zellic、Sigma Prime、Veridise(零知识证明专家)、Certora(形式化验证)和 Runtime Verification。形式化验证已经从研究阶段走向生产阶段。Certora Prover 和 Veridise 的 Picus 和 Vanguard 分别针对 Solidity、Vyper、Move 和零知识证明电路 DSL。Veridise 公布的数据比标题所暗示的更为清晰。其 55% 的零知识证明审计都发现了关键问题。常规 DeFi 审计的合格率达到 27.5%。约束不足的电路出现严重或高风险问题的概率约为 90%。
监管:MiCA、OCC 和 CISA
欧盟《加密资产监管法案》(MiCA)第五章自2024年12月30日起生效。各国过渡期最长至2026年7月1日。加密资产服务提供商(CASP)承担严格的义务:托管隔离、IT安全、公司治理以及在规定时间内报告事件。资本门槛明确:咨询服务5万欧元;托管和交易服务12.5万欧元;交易平台15万欧元。
美国的情况更为复杂。OCC 1170、1174 和 1183 号解释函允许国家银行在安全稳健的监管下托管加密货币、运行稳定币支付系统以及使用分布式账本网络。CISA、FBI 和财政部在联合发布的 AA22-108A 咨询文件中将 Lazarus、APT38、BlueNoroff 和 Stardust Chollima 列为“TraderTraitor”组织。FBI 于 2025 年 2 月发布的公共安全公告 (PSA) 将 Bybit 盗窃案归咎于同一组织。ISO/TC 307 涵盖了治理和安全方面的国际标准化工作。
安全最佳实践和防御框架
2026 年的防御策略借鉴了主流网络安全方法,并将安全开发生命周期工作与运行时检测相结合。能够大规模运行的安全框架和安全控制措施具有三个共同特征:持续监控、自动化不变式和演练式事件响应。在此背景下,真正的覆盖意味着既要解决智能合约漏洞,又要解决更广泛的区块链安全风险,例如运营商、数据安全以及作为瓶颈的少量节点。Slither、Mythril、Aderyn 和 Echidna 等工具在持续集成 (CI) 流水线中运行;Certora 规则表达了形式化验证门的不变式;Foundry 属性模糊测试弥补了单元测试和审计之间的差距。漏洞赏金计划提供真金白银:Immunefi 已支付超过 1.15 亿美元的赏金,涉及 3000 多份报告,其中单笔最高赏金为 1000 万美元(Wormhole 漏洞),77.5% 的赏金来自智能合约漏洞。
运行时检测是较新的安全层。截至2025年7月,Forta Firewall利用其FORTRESS神经网络进行子区块评分,已筛查了2.718亿笔交易,其领先的商业同行是Hypernative;两者都能生成实时风险评分,从而在恶意交易确认前暂停合约。事件响应现在包括预先协调的作战室、通过Chainalysis Reactor或TRM Labs进行链上追踪、联系交易所冻结合约以及白帽反攻击演练。其中,反攻击演练帮助Cetus挽回了约1.62亿美元的损失,这提醒我们,安全最佳实践不仅包括预防警报的措施,还包括警报触发后的应对措施。
前沿研究和未解决的问题
2026 年以后,三大研究方向正在重塑区块链安全格局,而每个方向都带来了新的安全风险。零知识证明系统是最脆弱的环节。根据 IACR ePrint 2024/514 的数据,基于 SNARK 的零知识证明系统中约 96% 的已记录漏洞都源于约束不足的电路。Picus、Coda 和 Circomspect 等工具如今已成为任何在生产环境中部署零知识证明协议的必备工具。MEV 抗性已从理论走向实际应用。加密内存池(Shutter)、阈值加密排序和基于意图的架构(UniswapX、CoW Swap、Across、Flashbots 的 SUAVE)用加密约束取代了区块构建者的自由裁量权。每一种都增加了针对求解器串通和证明系统的攻击面。 ERC-4337 下的账户抽象扩大了验证和执行范围——支付方、捆绑商、社会恢复守护者——以换取消除大多数用户的助记词风险。
如今我们如何看待区块链安全
分为两大阵营:协议方和运营商方。这种划分至关重要,因为威胁也分明。构建区块链或协助去中心化区块链,工作内容包括共识机制设计、客户端多样性、安全审计和密码学敏捷性。运行在别人的区块链上,工作内容则包括密钥保管、签名流程完整性、合约审计和运行时检测。2024 年和 2025 年的损失几乎全部来自运营商方,约 34 亿美元。选择与自身角色相符的安全措施,而不是追逐当下热点新闻。
