加密安全专家表示,未来一年的大多数加密漏洞不会由您最喜欢的协议中的零日漏洞引起。这将是由你造成的。
这是因为 2025 年已经表明,大多数黑客攻击并不是从恶意代码开始的;而是从恶意代码开始的。加密货币交易所 Kraken 首席安全官 Nick Percoco 告诉 Cointelegraph,他们从对话开始。
“攻击者并不是在闯入,而是被邀请进来的。”
Chainaanalysis 的数据显示,从 2025 年 1 月到 12 月初,加密货币行业发生了超过 34 亿美元的盗窃案,其中 二月妥协 Bybit 占到了近一半。
在攻击过程中,不良行为者通过社交工程获得访问权限,注入恶意 JavaScript 负载,使他们能够修改交易详细信息并窃取资金。
什么是社会工程?
社会的 工程是一种网络攻击 操纵人们泄露机密信息或执行危害安全的操作的方法。
佩尔科科说 加密安全的战场 将在头脑中,而不是网络空间中。
“安全不再是建造更高的围墙,而是训练你的思维识别操纵。目标应该很简单:不要仅仅因为有人听起来像是他们属于里面或正在灌输恐慌而交出城堡的钥匙。”
提示 1:尽可能使用自动化
根据 Percoco 的说法,供应链妥协也被证明是今年的一个关键挑战,因为看似轻微的违规行为可能会在以后证明是毁灭性的,因为“这是一个数字 Jenga 塔,每个区块的完整性都很重要。”
在未来的一年里,Percoco 建议通过尽可能自动化防御等行动来减少人类信任点,并通过身份验证来验证每次数字交互,“从被动防御转向主动预防”。
“加密安全的未来将由更智能的身份验证和人工智能驱动的威胁检测来塑造。我们正在进入一个系统可以在用户甚至训练有素的安全分析师意识到问题之前识别异常行为的时代。”
“尤其是在加密领域,最薄弱的环节仍然是人类的信任,而贪婪和 FOMO 会放大这种信任。这就是攻击者每次利用的漏洞。但没有任何技术可以取代良好的习惯,”他补充道。
技巧 2:孤立基础设施
SlowMist 安全运营负责人 Lisa 表示,今年,不良行为者越来越多地针对开发者生态系统,这与云凭证泄露相结合,为注入恶意代码、窃取机密和毒害软件更新创造了机会。
“开发人员可以通过固定依赖版本、验证包完整性、隔离构建环境以及在部署前检查更新来减轻这些风险,”她说。
进入 2026 年,Lisa 预测最重大的威胁可能来自日益复杂的凭证盗窃和社会工程操作。
“威胁行为者已经在利用人工智能生成的深度伪造、定制的网络钓鱼,甚至虚假的开发人员招聘测试来获取钱包密钥、云凭证和签名令牌。这些攻击变得更加自动化和令人信服,我们预计这种趋势将继续下去,”她说。
为了确保安全,Lisa 对组织的建议是实施强大的访问控制、密钥轮换、硬件支持的身份验证、基础设施分段以及异常检测和监控。
个人应该依靠 硬件钱包,避免与未经验证的文件交互,跨独立渠道交叉检查身份,并谨慎对待未经请求的链接或下载。
技巧 3:对抗人工智能深度造假的人格证明
区块链网络安全公司 Halborn 的联合创始人兼首席技术官 Steven Walbroehl 预测,人工智能增强的社会工程将在加密货币黑客的攻击中发挥重要作用。
3月份至少有3个 加密货币创始人报告挫败了一次尝试 据称,朝鲜黑客通过使用 Deepfakes 的虚假 Zoom 通话窃取敏感数据。
Walbroehl 警告称,黑客正在利用人工智能发起高度个性化、上下文感知的攻击,从而绕过传统的安全意识培训。
为了解决这个问题,他建议对所有关键通信实施加密身份证明、具有生物识别绑定的基于硬件的身份验证、以正常交易模式为基准的异常检测系统,以及使用预共享秘密或短语建立验证协议。
提示 4:保留您的加密货币
根据比特币 OG 和密码朋克 Jameson Lopps 的 GitHub 列表,扳手攻击或对加密货币持有者的物理攻击也是 2025 年的一个突出主题,至少有 65 起记录实例。最后一个 2021年牛市见顶 此前是有记录以来最糟糕的一年,总共发生了 36 起袭击事件
一个名为 Beau 的 X 用户,前中央情报局官员, 说 在 12 月 2 日的 X 帖子中 扳手攻击仍然相对罕见,但他仍然建议加密货币用户采取预防措施,不要 谈论财富或披露加密货币持有量 或从网上奢侈的生活方式开始。
他还建议通过使用数据清理工具隐藏家庭地址等私人信息,并投资安全摄像头和警报器等家庭防御措施,成为“硬目标”。
提示 5:不要吝惜经过考验的真实安全提示
曾在 Robinhood 担任首席信息安全官的安全专家 David Schwed 表示,他的首要建议是坚持选择那些表现出警惕的安全实践的信誉良好的企业,包括对从智能合约到基础设施的整个堆栈进行严格和定期的第三方安全审计。
然而,施韦德表示,无论采用何种技术,用户都应避免对多个帐户使用相同的密码,选择使用硬件令牌作为多因素身份验证方法,并通过安全加密或将其离线存储在安全的物理位置来保护种子短语。
他还建议使用专用的硬件钱包来持有大量资产,并尽量减少在交易所的持有量。
“安全性取决于交互层。用户在将硬件钱包连接到新的网络应用程序时必须保持高度警惕,并且必须在签名之前彻底验证硬件设备屏幕上显示的交易数据。这可以防止恶意合同的‘盲目签署’,”Schwed 补充道。
丽莎说,她最好的建议是只使用官方软件,避免与未经验证的 URL 交互,并在热、暖和冷配置之间分开资金。
为了应对日益复杂的 诸如社会工程之类的骗局 和网络钓鱼,Kraken 的 Percoco 建议始终保持“彻底怀疑”,验证真实性并假设每条消息都是意识测试。
“一个普遍的事实仍然存在:任何合法的公司、服务或机会都不会要求您提供助记词或登录凭据。一旦他们这样做,您就在与骗子交谈,”Percoco 补充道。
同时,Walbroehl 建议使用加密安全随机数生成器生成密钥,严格隔离开发和生产环境,定期进行安全审计,并通过定期演练制定事件响应计划。
