2025 年,加密行业看上去比几年前“成熟得多”:合约模板更标准了,审计公司排着队,AI 功能正逐渐出现在各类安全工具里。表面上,风险似乎在被有序压缩。
真正在变化的,却是攻击的结构。
链上漏洞的数量在减少,但单次事故依旧可以抹去一整家机构的资产负债表;AI 目前主要被用作模拟和审计工具,却已经在悄悄改变攻击脚本的迭代速度;而在链下,国家级黑客开始把远程招聘、自由职业平台和企业协作软件,当作新的主战场。
换句话说,安全问题不再只是“谁的代码更干净”,而是“谁的系统更经得起被误用和被渗透”。对许多团队而言,最大的风险不在链上,而在他们并未真正当作安全问题来看待的那一层:账户与权限、人员与流程,以及这些要素在压力之下如何失效。
这篇文章尝试给出的是一份 2026 年之前仍然有效的简化地图:从链上逻辑,到账户与密钥,再到团队、供应链和事后响应——加密行业要面对的安全问题,正在从一份“漏洞清单”,变成一套必须落地的行动框架。
链上攻击:越来越少,却越来越贵
今年的加密攻击呈现出一种新的对称性:事件数量减少,但每次攻击的破坏性却显著增强。SlowMist发布的2025 年中报告显示,上半年加密行业遭遇了 121 起安全事件——比去年同期的 223 起下降了 45%。这本应是好消息,但攻击事件损失却从 14.3 亿美元飙升至 约23.7 亿美元,增幅 66%。
攻击者不再浪费时间在低价值目标上,而是专注于高价值资产和高技术壁垒的入口。
来源: SlowMist 2025 年中报告
DeFi:从低成本套利到高技术博弈
去中心化金融(DeFi)依然是攻击者的主要战场,占据了76%的攻击事件。然而,尽管事件数量占比高达92起,DeFi协议的损失却从2024年的6.59亿美元下降至4.7亿美元。这一趋势表明,智能合约的安全性正在逐步提高,形式化验证、漏洞赏金计划和运行时保护工具的普及,正在为DeFi构筑更坚固的防线。
但这并不意味着DeFi协议已经安全。攻击者的目标转向了更为复杂的漏洞,寻找那些能够带来更大回报的机会。 与此同时,中心化交易所(CEX)则成为了损失的主要来源。尽管仅发生了11起攻击事件,但其造成的损失高达18.83亿美元,其中某知名交易所的单次损失就达14.6亿美元——这是加密史上规模最大的单次攻击事件之一(金额上甚至超过 Ronin 事件的 6.25 亿美元)。这些攻击并非依赖链上漏洞,而是源于账户劫持、内部权限滥用和社会工程攻击。
这份报告内披露的数据,实际上讲述了一个清晰的故事:中心化交易所(CEX)在被攻击次数远少于 DeFi 的情况下,却产生了更高的总损失。按平均每起事件计算, 攻击一个 CEX 的“回报”是攻击一个 DeFi 协议的 30 倍以上。
这种“效率差”也导致了攻击目标的两极分化:
- DeFi 战场:技术密集型 ——攻击者需要深入理解智能合约逻辑、发现重入漏洞、利用 AMM 定价机制缺陷;
- CEX 战场:权限密集型 ——目标不是破解代码,而是获取账户访问权限、API 密钥、多签钱包的签名权。
与此同时,攻击手段也在进化。2025 年上半年出现了一系列新型攻击:利用 EIP-7702 授权机制的钓鱼攻击、使用 deepfake 技术伪装成交易所高管的投资诈骗、伪装成 Web3 安全工具的恶意浏览器插件。香港警方破获的一个 deepfake 诈骗团伙造成了超过 3,400 万港元的损失——受害者以为自己在和真实的加密货币影响者视频通话,实际上对方是 AI 生成的虚拟形象。
图片描述:AI生成的虚拟形象
黑客们不再撒网捕鱼,他们在寻找大白鲨。
AI:防守的工具,进攻的倍增器”
如果说链上攻击正变得更专业、集中在少数高价值目标上,那么前沿 AI 模型的出现,则为攻击者在规模化、自动化这些攻击上提供了技术可能。12月1日 的一项 最新研究 表明,在区块链模拟环境中,AI agent 已能完成从智能合约漏洞分析、利用构造,到资金转移的完整攻击链。
这项由 MATS 和 Anthropic 团队主导的实验中,AI 模型(如 Claude Opus 4.5 和 GPT‑5)成功利用真实世界中的智能合约漏洞,在模拟环境中“盗取”了约 460 万美元的资产。更刺眼的是,在 2,849 个新部署、尚无公开漏洞记录的合约中,这些模型又挖出了两处零日,并以约 3,476 美元的 API 成本,完成了 3,694 美元的模拟攻击。
换句话说,扫描一份合约漏洞的平均成本只有约 1.22 美元,已经低于一张地铁票价格 。
AI 也在学会“算账”。在名为 FPC 的漏洞场景中,GPT‑5 只“盗”走了 112 万美元,而 Claude Opus 4.5 则吸走了 350 万美元——后者系统性地攻击了所有复用同一漏洞模式的流动性池,而不是满足于单一目标; 这种主动追求“收益最大化”的攻击策略,以往多被视为人类黑客的手艺。
描述: AI模型利用漏洞所获的总收益图表 (基于模拟测试)。 来源: Anthropic
更重要的是,研究团队刻意控制了数据污染:他们选取了 2025 年 3 月(这些模型的知识截止时间)之后才在现实中遭攻击的 34 个合约作为测试集。即便如此,三款模型仍在模拟环境中成功利用了其中 19 个,累计“盗取”约 460 万美元。这不是白板上的推演,而是一整套可以直接移植到真实区块链的攻击脚本雏形;在合约和链上状态不变的前提下,它们足以转化为真金白银的损失。
指数级增长的攻击能力
同一研究还给出一个更让人不适的结论:在 2025 年样本上,AI 的“漏洞挖掘收益”大约每 1.3 个月翻一番——这一增速比摩尔定律快了一个数量级。随着模型在推理、工具调用和长周期任务执行上的快速进步,防御方显然在失去时间优势。
在这种环境下,问题已经不再是“AI 会不会被用来攻击”,而是“如果未能妥善应对AI驱动的安全挑战,区块链行业将面临哪些最关键的风险?””。
区块链自主AI安全公司 VaultMind 的创始人Tat Nguyen,就把这个风险点概括得很直接:
“对区块链来说,最关键的风险是速度。微软最新的防御报告已经显示,AI 可以自动化完整的攻击生命周期。如果我们不能尽快适应,区块链行业将面对的是‘机器级速度’的攻击——漏洞利用从几周变成几秒。
传统审计往往需要数周时间,即便如此,被黑的协议中,仍有约 42% 是审计过的。答案几乎是必然的:一个持续的、由 AI 驱动的安全体系。”
对加密行业而言,含义很直接:在 2025 年,AI 不再只是防守方的安慰剂,它已经成为攻击链条中的核心力量。这也意味着,安全范式本身必须升级,而不仅仅是“多做几次审计”。
从链上漏洞到简历渗透:国家黑客的进化
如果说 AI 的出现是技术层面的升级,那么朝鲜黑客的渗透,则把风险维度拉升到了一个更不舒适的高度。朝鲜相关黑客组织(如 Lazarus)已经成为加密行业的主要威胁之一,它们的做法正从直接攻击链上资产,转向长期而隐蔽的链下渗透。
朝鲜黑客的“求职者”策略
AI 正在升级攻击者的工具箱,朝鲜黑客则把风险维度拉升到了更不舒适的高度。与其说这是技术问题,不如说是一次对组织与人员安全底线的集中检验。相关黑客组织(如 Lazarus)已经成为加密行业的主要威胁之一,它们的重点正从直接攻击链上资产,转向长期而隐蔽的链下渗透。
在布宜诺斯艾利斯的 Devconnect 大会上,Web3 安全专家、Opsek 创始人 Pablo Sabbatella 给出了一组刺眼的预估数字: 加密行业职位申请中,有 30%–40% 可能来自朝鲜特工 。如果这一估计哪怕只对了一半,加密公司的招聘收件箱,早已不是单纯的人才市场,更像是一条新的攻击路径。
根据他的透露,这些黑客们采用的“求职者策略”并不复杂,却足够有效:伪装成远程工程师,通过正常的招聘流程进入公司的内部系统,目标直指代码仓库、签名权限和多签席位。 在不少案例中,真正的操作者并不直接暴露身份,而是通过自由职业平台在乌克兰、菲律宾等国招募“代理人”:代理人出租自己已验证的账户或身份,允许对方远程控制设备,收入按约定分成——自己拿走大约两成,其余归朝鲜方面。
面向美国市场时,伪装往往再叠一层。常见的安排是:先找到一名美国人充当“前端”,对外自称是“不会说英语的中国工程师”,需要人代为参加面试。随后,通过恶意软件感染这名“前端”的电脑,借用其美国 IP 和更广泛的网络访问权限。一旦顺利入职,这些“员工”工作时间长、产出稳定、几乎从不抱怨,在高度分布式的团队里反而不容易显得可疑。
这一策略之所以奏效,靠的并不只是朝鲜方面的资源,更暴露了加密行业自身在操作安全(OPSEC)上的结构性缺口:远程办公已经成为默认选项,团队高度分散、跨多个法域,而招聘验证流程往往宽松,对技术能力的重视远高于背景审查。
在这样的环境里,一份看似普通的远程求职简历,可能比一份复杂的智能合约更危险。 当攻击者已经坐在你的 Slack 频道里,拥有 GitHub 访问权限,甚至参与多签决策时,再完美的链上审计,也只能覆盖风险的一部分。
这并非孤立事件,而是更大图景的一部分。美国财政部在 2024 年 11 月发布的报告估计,朝鲜相关黑客在过去三年间窃取了超过 30 亿美元的加密资产,其中部分资金被用于支持平壤的核武器与导弹项目。
对加密行业来说,这意味着:一笔“成功的攻击”从来不是停留在链上的数字游戏,它可能直接改变的是现实世界里的军费账本。
从风险清单到行动清单: 2026 年的安全基线
前文已清晰呈现了加密行业面临的三大威胁:AI驱动的机器级攻击、审计体系的系统性失效,以及朝鲜等国家级行为体的渗透。当这些风险叠加时,传统安全框架已显露出致命短板。
本节将回答唯一重要的问题: 在新的的威胁环境下,一个加密项目需要怎样的安全架构?
一个更适合 2026 年的安全架构,至少包括以下五层:
- 能被持续监控、自动回归测试的智能合约与链上逻辑;
- 把密钥、权限和账户当作“高价值攻击面”来设计的身份体系;
- 专注防范国家级渗透与社工攻击的组织和人员安全体系(覆盖招聘和安全演练);
- 不是临时外挂,而是内建在基础设施里的 AI 对抗能力;
- 一旦出事,可以在分钟级别完成溯源、隔离和资产保护的响应系统。
真正的变化在于:把安全从一次性的合约验收,变成一种持续运行的基础设施——其中相当一部分能力,将不可避免地以“AI 安全即服务”的形态存在。
第一层:链上逻辑与智能合约安全
适用对象主要包括 DeFi 协议、钱包核心合约、跨链桥和流动性协议。这一层解决的问题很直接:代码一旦上链,错误通常是不可逆的,修复成本远高于传统软件。
在实践中,几个做法正在成为这类项目的基础配置:
- 引入 AI 辅助的预部署审计,而不是只做静态检查。
在正式部署之前,使用公开的安全基准测试工具或 AI 对抗性审计框架,对协议进行系统性的“攻击模拟”,重点评估多路径、组合调用和边界条件,而不仅仅是扫描单点漏洞。
- 对同类合约进行模式化扫描,降低“成批爆雷”的概率。
在可复用的模板、池子和策略合约上,建立模式化扫描与基线,对相同开发模式下可能出现的“同型漏洞”进行成批识别,避免一次失误导致多个池子同时被打穿。
- 保持最小可升级范围,并让多签结构足够透明。
管理合约的可升级面应被严格限制,只保留必要的调整空间。同时,多签和权限结构需要对社区和主要合作方是可解释的,以降低“技术升级被视为黑箱”的治理风险。
- 在部署后持续监控潜在的操纵行为,而不是只盯价格。
链上监控不仅需要观察价格与预言机的异常波动,还应覆盖:
- 授权事件的异常变化;
- 批量异常调用与集中的权限操作;
- 异常资金流向与复杂调用链的突然出现。
如果这一层处理不当,后面的权限管理和事后响应,往往只能在一地鸡毛的前提下,尽量降低损失,而很难阻止事故本身的发生。
第二层:账户、权限、密钥系统安全(CEX 与钱包的核心风险)
对于中心化服务而言,账户与密钥系统的安全,往往决定一场事故是否会上升为“生存级风险”。近期多起交易所和托管方的案例表明,大额资产损失更多发生在账户、密钥和权限体系这一层,而不是单纯的合约漏洞。
在这一层,几个基本做法正在变成行业共识:
- 取消共享账号和通用管理后台账户,将所有关键操作绑定到可追责的个人身份;
- 对提币、权限变更等关键操作采用 MPC 或等价的多方控制机制,而不是单一密钥或单一审批人;
- 禁止工程师在个人设备上直接处理敏感权限和密钥,相关操作应被限制在受控环境中完成;
- 对核心人员实施持续的行为监控与自动化风险评分,对异常登录地点、异常操作节奏等信号给出及时预警。
对大多数中心化机构来说,这一层既是防止内部失误与作恶的主战场,也是阻止一场安全事故演变成“生存级事件”的最后屏障。
第三层: 组织安全 & 人员安全(国家级渗透的阻断层)
在许多加密项目里,这一层几乎是空白。但到了 2025 年,组织和人员安全的重要性,已经可以和合约本身的安全并列:攻击者不一定要打穿代码,渗透团队往往更便宜,也更稳定。
在国家级行为体越来越多地利用“远程求职 + 代理人 + 长期潜伏”策略的前提下,项目方至少需要在三方面补齐短板。
第一,重构招聘与身份验证流程。
招聘环节需要从“形式审简历”升级为“实质性验证”,以降低被长期渗透的概率,例如:
- 要求实时视频沟通,而非纯语音或文字交流;
- 技术面试与代码测试中要求实时共享屏幕,防止“代打”;
- 对教育背景、前公司和前同事进行交叉式背调;
- 结合 GitHub、Stack Overflow 等账号活动,核对候选人的长期技术轨迹是否自洽。
第二,限制单点权限,避免一次性“全开绿灯”。
新工程师不应在短时间内直接接触密钥系统、签名基础设施或生产级数据库,权限应按阶段提升,并与具体职责绑定。内部系统的设计也应分层隔离,避免任何单一岗位天然拥有“全链路权限”。
第三,把核心岗位当作优先级更高的社工攻击面。
在许多攻击中,比起 CEO,一线运维和基础设施人员反而更容易成为攻击目标,包括:
- DevOps / SRE;
- 签名管理员与密钥托管负责人;
- 钱包与基础设施工程师;
- 审计工程师与红队成员;
- 云与访问控制管理员。
针对这些岗位,定期的社工攻击演练与安全培训,不再是“加分项”,而是维持基本防线的必要条件。
如果这一层处理不好,前两层再复杂的技术防线,也很容易被一场精心设计的招聘、一次看似正常的远程协作,悄悄绕过去。
第四层: 关于AI的安全对抗(新兴防线)
一旦高水平攻击者开始系统性地使用 AI,仍然依赖“人工分析 + 半年一次审计”的防守方,本质上是在用人力对抗自动化系统,胜算有限
更务实的做法,是把 AI 提前纳入安全架构,至少在以下几个方面形成常态化能力::
- 在正式部署前,利用 AI 做“对抗性审计”,系统性模拟多路径攻击;
- 扫描同类合约和相似开发模式,识别成批出现的“漏洞族”;
- 融合日志、行为模式和链上交互数据,用 AI 建立风险评分与优先级排序;
- 识别并拦截 deepfake 面试和异常面试行为(如语音延迟、眼神与嘴型错位、过度脚本化回答等);
- 自动发现并阻断恶意插件、恶意开发工具链的下载和运行。
按这个方向演化下去,AI 在 2026 年大概率会成为安全行业的新基础设施层:
安全能力不再由“一纸审计报告”来证明,而是由防守方能否借助 AI,以接近机器的速度完成发现、预警和处置来衡量 。
毕竟,一旦攻击者开始采用 AI,防御方如果继续停留在“半年一次审计”的节奏上,很快就会被节奏差压垮。
第五层:安全事件的事后响应与资产冻结
在链上安全里,事后能否把钱追回,已经变成一个独立战场。到 2025 年,资产冻结是这个战场上最重要的工具之一。
公开数据给出的信号相当明确:SlowMist《2025 上半年区块链安全与反洗钱报告》报告显示,上半年链上被盗总额约 17.3 亿美元,其中约 2.7 亿美元(约 11.38%)被冻结或追回,已经是近几年相对靠前的水平。
项目在遭遇攻击后的反应速度,很大程度上决定了可挽回资产的比例 。因此,在这一层,行业需要提前搭好“战时机制”,而不是在事故发生后临时补课:
- 与专业链上监控和安全服务机构建立快速响应机制,包括技术告警通道(Webhook / 紧急群组)以及明确的处置 SLA(多少分钟内响应、多少小时内给出行动建议);
- 预先设计并演练紧急多签流程,用于快速启用或停用合约、冻结高风险功能;
- 为跨链桥和其他关键基础设施设定自动暂停机制:当资金流、调用频率等指标出现异常时,系统自动进入停机或只读模式。
*至于更进一步的资产追回,则往往需要延伸到链下:包括与稳定币发行方、托管机构和主要中心化平台打通合规与法律层面的协作路径。
防御不再只是“避免被攻击”,而是尽可能降低攻击之后的最终损失和外溢影响。
结语:安全,是一张新入场券
当前的现实是,多数加密项目只覆盖五个安全层级中的一到两层。这不是技术能力的问题,而是优先级选择:可见的短期收益,往往压倒看不见的长期建设。
但在 2025 年之后,攻击门槛正从“规模”转向“关联性”。AI 工具让低成本侦察成为常态,安全的核心问题也随之变成:在冲击真正到来时,系统是否还能维持运转。
能够平稳穿越 2026 年的项目,未必是技术最激进的,但一定在这五个维度上具备成体系的防线。下一轮系统性事件将部分决定,加密行业是继续被视为高风险资产池,还是被认真视作金融基础设施的候选者。
过去十年,加密世界花了大量时间证明自己不是庞氏游戏;接下来的十年,它需要用同样的决心,证明自己在安全维度上足以承载严肃资本。对真正长期的资金而言,这将是是否继续参与的分水岭之一。
“In the long run, the most dangerous risk is the one you refuse to see.”
