加密货币会被黑客攻击吗?区块链、钱包与黑客攻击
那么,加密货币会被黑客攻击吗?某种程度上来说会,但也不完全会。让我解释一下。
区块链账本本身,也就是区块链网络所确认的那条实际链条,从未被黑客攻击过。17年来从未发生过。你读到的那些关于加密货币黑客攻击的头条新闻?其实都发生在其他地方。交易所、桥接器、智能合约,或者某个人的钱包应用。安全的部分和危险的部分就并排显示在你的屏幕上,大多数人直到蒙受损失后才能分辨它们。
2025年让很多人切身感受到了这一点。根据Chainalysis去年12月发布的区块链技术风险报告,仅去年一年,攻击者就从加密货币服务中窃取了34亿美元的资金。CertiK统计了630起独立事件,涉案金额达33.5亿美元。TRM Labs的统计结果为28.7亿美元。三家公司,三种不同的方法,得出了相同的结论:有史以来最糟糕的一年。而几乎所有损失都与区块链本身无关。
让我带你了解盗窃实际发生在哪里,你真正的风险在哪里,以及你可以采取哪些实际措施来应对它。
加密货币会被黑客攻击吗?先给出直接答案。
那么,加密货币真的会被黑客攻击吗?加密货币绝对可以被盗,但存储它的区块链账本几乎不可能被盗。
听起来像文字游戏,但并非如此。人们常说“比特币被黑客攻击了”,通常指的是以下三种情况之一:某人的比特币从交易所被盗、钱包私钥泄露,或者运行在区块链上的智能合约被窃取。这些都不是针对比特币或以太坊本身的攻击。这两个底层平台的共识规则从未被破解,而且它们都已运行超过十年,数十亿美元的实时价值就摆在那里,等待着任何足够聪明的人去破解。“不可破解的区块链”这个说法只对了一半:区块链本身是安全且具有防御性的,但它周围的底层却充满了攻击目标。
首先要理解这个区别,因为它会改变你对防御的思考方式。如果链条本身就是薄弱环节,那就无计可施。但由于薄弱环节都附加在链条之上(例如托管、密钥管理、用户行为、智能合约代码),你实际上对其中大部分环节都有发言权。
了解区块链安全以及交易运作方式
在探讨可能出现的问题之前,让我先简要介绍一下支撑整个系统的机制。理解区块链安全的关键在于三个相互重叠的机制,而大多数人只了解其中之一,忽略了另外两个。
先从加密和密码学说起。区块链上的每一笔交易都用私钥签名,并用匹配的公钥验证。如果你想破解密钥,就相当于在暴力破解一个 256 位的数字。这样的数字长度介于“比宇宙热寂还要长”和“我们目前所知的任何传统计算机都无法计算”之间。像比特币这样的区块链就是这样加密每一笔交易签名的。中本聪在 2008 年选择了 ECDSA 算法来加密密钥,而且它一直沿用至今。
然后是哈希运算。每个加密货币交易区块都会经过类似 SHA-256 的算法处理。每个新区块都嵌入了前一个区块的哈希值。如果更改了历史记录中某个隐藏的单个交易,下游所有区块的哈希值都会失效。这就是为什么区块链被称为不可篡改的。并非因为没人想修改它们,而是因为任何修改都会导致整个区块链崩溃。
第三点,也是人们最容易误解的一点,是共识。想象一下区块链网络上成千上万个独立的节点,它们都运行着相同的规则,彼此互相验证。没有管理员账户,没有暂停按钮,也没有任何人都可以随意攻击的总部。要想改写历史,你需要在计算能力或权益方面胜过诚实的大多数。这就是人们常说的区块链去中心化信任的含义。一个去中心化的区块链网络不存在任何可以被贿赂、传唤或离线DDoS攻击的单一主体。
将这三者结合起来,你会发现一个非常了不起的现象:区块链确认的交易基本上是永久性的,加密技术和共识机制的结合使得中央银行不再必要,而且无需银行。这是安全的一面。不安全的是每个人、每个交易所、每个钱包应用以及运行在其上的每个智能合约。
比特币是否曾被黑客攻击过?其底层依然稳固。
简短版?不。
比特币的Layer 1层从未遭受过成功的攻击。17年来,一次也没有。漏洞?有,但都已修复。混乱的分叉?数不胜数。推特上关于区块大小的争论没完没了?当然。但核心账本从未被重写过。每一笔新交易只有在符合自2009年1月第一个区块诞生以来一直守护着比特币区块链的相同规则后,才能被添加到区块链中。
麻省理工学院数字货币计划 (MIT Digital Currency Initiative) 记录了所有已知的针对工作量证明网络的 51% 攻击。比特币的记录为空。以太坊主网的记录也为空。著名的 2016 年 DAO 黑客事件?那只是以太坊上运行的单个智能合约中的一个漏洞,而非区块链本身。正是由于这个漏洞,以太坊和以太坊经典如今才成为两个无法就如何应对该问题达成一致的网络。
现在来说说经济方面,这几乎比数学计算更有说服力。加密货币新闻媒体在2024年进行了估算,认为对比特币发起51%攻击的成本约为60亿美元。硬件、电力、托管等等,全部都要耗费。然后呢?攻击一旦成功,比特币的价格就会暴跌。你被盗的比特币价值将缩水几分之一。你的ASIC矿机将沦为摆设。攻击者故意高买低卖。这是有史以来最昂贵的亏钱方式之一。
所以真正的行动从来不在底层,而总是在上一层。
加密货币究竟在哪里被盗
把加密货币架构想象成一座大楼。区块链是地基。地基之上依次是智能合约、桥接器、交易所、托管机构,最顶层则是用户及其钱包。你看到的几乎所有黑客攻击都发生在这些架构的上层。很多攻击都通过第三方网站、插件和工具进行,最终悄无声息地控制了你的资金。
Chainalysis汇总了其2024年的详细数据,发现仅私钥泄露就占所有被盗金额的43.8%。注意,是私钥泄露,而不是智能合约漏洞。是密钥泄露。个人钱包(而非交易所或DeFi)被盗金额占比飙升至44%,远高于2022年的7.3%。随后,TRM Labs在2025年表示,76%的损失来自他们所谓的“基础设施攻击”。这些攻击包括签名者被盗、云服务提供商被盗、开发人员笔记本电脑被盗以及针对支持人员的社会工程攻击。智能合约漏洞还会被利用吗?当然会。黑客还会利用新协议中的漏洞吗?一直都在。但它们不再是主要攻击手段。
黑客往往追逐资金流向,攻击目标也随之转移。DeFi 在 2021 年至 2023 年占据主导地位,而中心化服务和个人钱包则在 2024 年和 2025 年取而代之。这种模式本质上是经济性的,而且相当乏味。如果一家公司里某个签名者的身份被攻破,那么他/她转移的资金量将远远超过任何个人所能转移的。因此,如今黑客的主要目标并非普通的加密货币持有者,而是那些掌握他人加密货币所有权密钥的工程师、支持人员和开发人员。
钱包攻击:私钥和钱包地址诈骗
加密钱包实际上并不持有加密货币。它持有控制这些加密货币在区块链上转移的私钥。丢失私钥,就等于丢失了加密货币。泄露私钥,其他人就能获得你的加密货币。这就是加密钱包的运作模式。
钱包大致可以分为两类。热钱包存在于连接互联网的设备上,例如手机应用、浏览器扩展程序和交易所余额。它们使用方便,但也容易受到攻击,因为设备上的任何恶意软件或被入侵的浏览器都可能成为黑客窃取钱包资金的途径。冷钱包,包括硬件钱包和物理隔离钱包,则将密钥离线存储;在冷钱包中,私钥存储在永远不会连接到互联网的芯片中。冷钱包更难被攻击,因此大多数谨慎的持币者会将本周不打算交易的资金存放在冷钱包中。
钱包地址陷阱是一种独特的攻击类型。“地址投毒”是指攻击者使用一个看起来与您常用的钱包地址几乎完全相同的地址发送一笔极小的交易。前四个字符相同,后四个字符也相同,只是中间部分不同。之后,当您复制自己的交易记录时,可能会误粘贴到被投毒的地址。卡内基梅隆大学的研究人员在公共区块链上发现了2.7亿起此类攻击记录,确认的损失约为8380万美元。2025年12月,一名交易员因一次地址投毒攻击损失了价值5000万美元的USDT。
令人不安的是:区块链的运行完全符合预期。交易已确认。没有安全漏洞、没有程序错误,也没有安全隐患。用户只是粘贴了错误的字符串。
2024-2025年交易所安全漏洞和最大的加密货币黑客攻击事件
交易所是业内大部分托管资产的存放地,因此也一直是主要攻击目标。过去两年中规模最大的加密货币黑客攻击事件都遵循着一个清晰的模式:攻击者的目标是密钥,而不是代码。
| 事件 | 日期 | 数量 | 攻击向量 |
|---|---|---|---|
| 拜比特 | 2025年2月21日 | 14亿至15亿美元 | Safe{Wallet} 开发商妥协,拉撒路集团 |
| DMM比特币 | 2024年5月31日 | 3.05亿美元 | 私钥被盗,与朝鲜有关 |
| PlayDapp | 2024年2月9日至12日 | 2.9亿美元 | 两阶段铸币漏洞 |
| 漂移协议 | 2026年4月1日 | 2.85亿美元 | 与朝鲜民主主义人民共和国有关联的 Solana DeFi |
| WazirX | 2024年7月18日 | 2.349亿美元 | 多重签名钱包漏洞,Lazarus Group |
| 鲸鱼座(Sui) | 2025年5月22日 | 2.23亿美元 | 智能合约缺陷(部分已修复) |
| 平衡器 V2 | 2025年11月3日 | 1.28亿美元 | 多链池漏洞利用 |
| Nobitex(伊朗) | 2025年6月18日 | 8000万至9000万美元 | 黑客行动主义者,据报道资金被烧毁。 |
| Radiant Capital | 2024年10月16日 | 5000万美元 | 开发者硬件钱包上的恶意软件 |
| GMX V1 | 2025年7月9日 | 4200万美元 | 重返战场(获得 500 万美元赏金) |
再看看Bybit的损失数字。一次数据泄露就造成了14亿美元的损失,比2025年所有零售网络钓鱼攻击的总和还要多。根据FBI的IC3公共服务公告,攻击者入侵了Safe{Wallet}(Bybit使用的多重签名基础设施)的一台开发者机器,并植入了恶意代码。签名者看到一笔看似合法的交易,点击批准后,401,347个以太币就此消失。
现在来说说比较隐晦的部分。美国顶级监管场所2024年和2025年取得了一种奇特的“胜利”。并非零事故,而是没有实际的资金盗窃。
Coinbase 在 2025 年 5 月遭遇数据泄露。攻击者贿赂了一家名为 TaskUs 的外包服务商的客服人员,窃取了 69,461 位客户的数据。他们索要 2000 万美元的赎金。Coinbase 拒绝了他们的要求,并公开宣布了此事。最终,没有一位客户的加密货币遭到损失。
Kraken披露了一起发生在2025年2月的内部攻击事件,该事件影响了约2000个账户(约占其用户总数的0.02%)。据报道,币安在2025年5月也遭遇了类似的社交工程攻击,但并未造成损失。这些案例均未导致客户资产被盗。这是一个值得关注的良好记录,也是经常购买加密货币的用户选择受监管、保险完善的平台的重要原因之一。
智能合约、去中心化金融(DeFi)和桥接黑客策略
智能合约就是代码。仅此而已。运行在区块链上的代码。如果代码有漏洞,有人会把它清除掉,而区块链会欣然确认每一笔转账,因为在区块链看来,合约执行了它被告知的操作。没有检测到任何恶意行为。智能合约攻击是典型的黑客攻击领域。重入漏洞、错误的数学运算、预言机操纵、隐藏在借贷协议中的逻辑错误。如果你眯着眼睛看,这些技术细节确实很精妙。但正如我们所见,它们不再是造成损失的主要因素了。
桥接机制本身就非常复杂。大致来说,它的工作原理是这样的:你想把代币从以太坊转移到比如 Arbitrum。桥接机制会将你的代币锁定在以太坊上,并在另一端铸造“包装”副本。这意味着桥接机制必须建立在大量真实代币之上,并由少数多重签名者或一段智能合约逻辑进行保护。一旦桥接机制的任何一方崩溃,桥接机制就会失效。Chainlink 的研究表明,桥接机制造成的累计损失约为 28 亿美元。这相当于 Web3 历史上所有被黑客攻击损失的 40 美分左右。真是惨重。
几个桥接案例奠定了整个桥接领域的基调。Ronin Bridge,2022年3月:损失6.25亿美元,原因是攻击者获取了九个验证者密钥中的五个。Poly Network,2021年8月:通过跨合约调用漏洞损失6.12亿美元,然后,在加密货币领域或许最离奇的剧情转折中,黑客归还了大部分损失。Wormhole,2022年2月:通过签名验证漏洞损失3.26亿美元。Orbit Chain,2024年1月2日:在10个验证者密钥中的7个被攻破后损失8100万美元。所有这些案例之后,桥接安全性明显提高。然而,核心问题却丝毫未变。由少数签名者守护的巨额抵押品池,仍然对那些有时间和动力的人极具吸引力。
朝鲜、拉撒路和有组织的加密犯罪
在这些事件报告中,有一个对手反复出现:Lazarus。这个团队与朝鲜政府有关联,主要成员是Lazarus本身,但也包括APT38、BlueNoroff、TraderTraitor以及新成立的Famous Chollima团队。你可以把他们想象成一个资金充足、耐心十足的小型国家级加密货币攻击机构。
这些数字令人震惊。2024年,Chainalysis追踪到47起案件中,涉案金额高达13.4亿美元,均来自朝鲜境内的攻击者。这占当年被盗总额的61%。2025年,这一数字飙升至20.2亿美元,同比增长51%。自2017年以来,与Lazarus黑客组织相关的累计盗窃金额已超过67.5亿美元。整个朝鲜,同一个威胁组织。
他们究竟是怎么做的?同样的套路,一遍又一遍地重复。找到一名加密工程师,或者一名技术支持人员。在LinkedIn或Telegram上向他们抛出一个看似真实的招聘信息。发送一个“编程挑战”或一个“钱包应用”,这些应用会在后台悄悄安装恶意软件。窃取凭证。然后等待。接下来几周或几个月的时间里,他们会盗取钱包或交易所的资金。一旦资金流出,洗钱就开始了:混币器、跨链交易、多层交易所,这些手段可以抹去非法活动的痕迹。
2024年10月的Radiant Capital案堪称教科书式的案例。前承包商通过Telegram发送了一份PDF文件。但这根本不是PDF。五千万美元就此消失。多名签字人同时被骗,因为他们都在各自的电脑上查看了这份“文档”。
把这称为对加密货币的攻击,忽略了问题的本质。这是一场针对从事加密货币相关工作的人员的情报行动。杀毒软件作用有限,但恐慌情绪的作用更大。
51%攻击和区块链理论风险
51%攻击。你肯定见过这个词。它到底是什么意思呢?
一方掌握了网络一半以上的算力(工作量证明机制)或质押的代币(权益证明机制)。凭借这种多数优势,他们可以撤销近期交易或审查新交易。这是典型的共识攻击。在现实中,这种攻击通常只影响小型区块链。
比特币黄金就是个典型例子。它遭遇了两次双重支付攻击。2018 年 5 月,比特币黄金因双重支付损失了约 1800 万美元。2020 年 1 月,又损失了 7 万美元。以太坊经典在 2020 年 8 月也遭遇了双重支付攻击,损失高达 560 万美元。为什么这些区块链会成为攻击目标?因为它们的算力太低。你只需花费几万美元就能租用足够的算力,周末挖矿就能盈利。
比特币完全是另一个世界。它的算力是以太坊的数千倍。以太坊的质押池里锁定了数千万枚ETH。理论上,有人可以对以太坊发起51%攻击吗?当然可以。但这在经济上有什么意义吗?没有。你窃取的代币会拉低你窃取的资产的价格,你的挖矿设备或质押的代币也会瞬间变得一文不值。
其他理论上的威胁?它们确实存在。例如工作量证明机制下的自私挖矿,权益证明机制下的远程攻击,以及一些早期权益证明设计中存在的“无权益”问题。但这些威胁都未能对排名前20的区块链造成真正的冲击。所以,当有人说“比特币无法被黑客攻击”时,他们指的就是这些。共识层确实无法被黑客攻击,但共识层之上的所有层都无法被黑客攻击。
量子计算是一个未知数,预计还需要十年时间才能实现。Vitalik Buterin 最近估计,在 2030 年前出现能够破解密码的量子计算机的概率约为 20%。Blockstream 的 Adam Back 则认为还需要几十年时间。专家们普遍认为,量子计算的出现时间窗口在 2029 年至 2035 年之间。
有人在做准备吗?有的。Solana 于 2025 年 12 月在其测试网上进行了首次 Layer-1 后量子签名测试。以太坊基金会也有一个专门的后量子团队,致力于研究迁移方案。所以业界并没有停滞不前。但一切也远未结束。目前还没有任何抗量子攻击的方案上线主网。
网络钓鱼和常见的加密货币诈骗
残酷的真相是,大多数损失并非源于高深的漏洞利用,而是源于某人点击了错误的链接、签署了错误的交易,或者因为有人指使而故意将加密货币发送到错误的地址。FBI 2024 年的 IC3 报告记录了超过 14 万起与加密货币相关的投诉,损失高达 93 亿美元,比 2023 年增长了 66%。仅 60 岁以上的美国人就因 3.3 万起独立投诉损失了 28 亿美元。
单单猪肉屠宰一项就创造了58亿美元的收入。这些都是精心设计的骗局。有人在约会软件、WhatsApp 或 Telegram 上给你发私信。他们很友好,但似乎对任何浪漫关系都没兴趣。几周后,他们提到自己在一个“很棒的交易平台”上赚了点钱,问你想不想试试。你存入了一点钱,仪表盘显示盈利,于是你又存入了更多。最后,当你尝试提现时,平台先是要求支付税费,然后又收取其他费用。之后,这个人就消失了。
菜单上的其余部分包括:掏空钱包的网络钓鱼(诱骗您签署恶意授权的虚假网站)、伪造的空投、冒充 Telegram 管理员以及窃取您的短信双因素身份验证码的 SIM 卡交换攻击。
一个小小的好消息。据 Scam Sniffer 数据显示,2025 年因网络钓鱼窃取钱包造成的损失将下降 83%,至约 8385 万美元,低于 2024 年的约 4.94 亿美元。原因何在?钱包的用户界面确实有所改进。现在大多数钱包都会在签名允许无限制地花费代币时发出警告。尽管如此,受害者的数量仍然非常庞大。
诈骗手段变化之快,远超消费者教育的更新速度。因此,不要死记硬背各种骗局,而要了解它们的规律。如果陌生人提起加密货币交易,请将其视为社交工程攻击。如果钱包提示要求你批准一些你无法解释的内容,请拒绝。如果自称是 Telegram 管理员的人员私信你提供帮助,那很可能不是管理员本人。
保护您的加密货币:行之有效的最佳实践
保护您的加密货币并不复杂,只需养成良好的习惯。以下是一套简洁的安全措施和最佳实践,可有效保护持有一定数量加密货币的普通用户免受攻击。大多数潜在威胁和风险实际上都能绕过这些安全措施。遵循每项安全措施,攻击面就能迅速缩小。遵循这些措施,您就能保护您的加密货币免受绝大多数现实世界攻击。
| 层 | 实践 | 为什么这很重要 |
|---|---|---|
| 贮存 | 几百美元以上的金额都用硬件钱包;热钱包只用于日常消费。 | 离线密钥消除了最常见的盗窃途径。 |
| 备份 | 将助记词写在纸上或金属上;切勿拍照、截屏、通过电子邮件发送或将其存储在云端。 | 恶意软件经常窃取种子数据的云备份。 |
| 交换 | 优先选择监管完善、信誉良好的交易所;使用信誉卓著且强制执行双因素身份验证的平台。 | 信誉良好的场所拥有法律责任保障和更完善的内部管控机制。 |
| 双因素认证 | 请使用身份验证器应用或硬件密钥,不要使用短信验证。 | SIM卡交换攻击的目标是基于电话号码的双因素身份验证。 |
| 审批 | 检查每条签名提示;通过 Revoke.cash 或类似工具撤销旧的代币授权。 | 大多数榨干用户钱包的工具都依赖于用户签署无限次授权协议。 |
| 交易 | 请核实完整的收件人地址,而不仅仅是地址的前四个字符和后四个字符。 | 破解地址投毒陷阱 |
| 卫生 | 专门为高价值加密货币使用准备一个浏览器或机器。 | 减少因浏览网页而接触恶意软件的风险 |
| 意识 | 除非有确凿证据,否则请将所有关于加密货币的私信都视为钓鱼邮件。 | 拉撒路式运营商专门针对加密货币专业人士。 |
如何在硬件钱包上保护您的加密货币
关于硬件钱包,有两点需要注意。Ledger 在 2020 年 12 月发生数据泄露事件,导致 27 万用户家庭住址泄露,这提醒我们,即使是硬件钱包公司也可能成为数据泄露的目标(尽管资金并非泄露目标)。2026 年 1 月,其电商合作伙伴 Global-e 再次发生数据泄露事件,泄露的仍然是联系方式,而非种子或资金。您的设备仍然是存放密钥最安全的地方;但遗憾的是,您的邮寄地址并非如此。
一些交易者会问冷钱包是否会被黑客攻击。坦白地说,一个使用得当、妥善保管并正确备份助记词的冷钱包,对于想要长期持有加密货币的人来说,是目前最强大的安全保障。安全漏洞主要来自人为因素:例如,助记词被拍照、被钓鱼网站诱骗输入助记词、在聊天中泄露敏感信息,或者从二手市场购买已被他人预先初始化的“硬件钱包”。务必只从制造商处购买。这是每个人都应该具备的基本安全防护措施。
如果你的电脑被黑客攻击:数据被盗、数据恢复以及哪些事情不应该做
怀疑钱包被盗?赶紧转移!首先,止损。在干净的设备上创建一个全新的钱包,把旧钱包里剩下的东西都转移过去,赶在窃贼之前把剩下的东西都转移走。其次,使用 Revoke.cash 或类似的工具撤销你之前授予的所有代币授权。第三,做好记录。交易哈希值、时间戳、所有可疑的聊天记录、邮件或网址的截图,把所有痕迹都记录下来。务必在做任何其他事情之前完成这些。
现在来说说大家都不想听的部分:追回。对于普通的个人盗窃案,被盗加密货币的追回率不到10%。区块链的透明性确实让调查人员能够通过混币器和桥接器追踪资金流向,这固然很好。但追踪并不等于追回。你看到的那些重大案例(比如Tether在2023年至2025年间冻结了价值32.9亿美元的非法USDT,大约是Circle同期冻结金额的30倍;英国在2025年查获了6.1万枚比特币;Cetus追回了2.23亿美元损失中的1.62亿美元)之所以出名,恰恰是因为它们是特例。这些案例的追回需要稳定币发行方、政府或愿意大力施压的协议的配合。
你绝对不应该这样做。请不要雇用那些突然私信你的“加密货币追回”公司,也不要雇用那些投放 Instagram 广告的公司,或者那些主页上充斥着精心包装的名人证言的公司。整个行业都是后续骗局。真正的追回过程缓慢而枯燥,由执法部门在 Chainalysis 或 TRM 等公司的协助下进行,而且几乎从不保证一定能追回损失。如果有人向你保证退款?赶紧走人。如果他们在提交报告之前就要求你支付预付款?赶紧跑。
如果您身在美国,请向FBI的IC3(或当地同等机构)提交报告;如果资金曾流经交易所,请向交易所提交报告;如果涉及稳定币,请向稳定币发行方提交报告。发行方冻结已成为一种有效的追回途径。据Chainalysis的数据显示,稳定币目前占非法加密货币交易量的84%。这正是Tether的冻结数量持续攀升的原因所在。
