朝鲜黑客组织多年来一直针对加密货币。2022年625百万美元的Ronin桥漏洞是一个早期的警示,但威胁只是在不断演变。
仅在2025年,朝鲜相关的攻击者就与一系列旨在抽取价值和破坏Web3关键参与者的活动有关:他们通过收集凭证的活动针对了价值15亿美元的资产,已有数百万美元被洗钱。他们对MetaMask和Trust Wallet用户发起了恶意软件攻击,试图通过假求职者渗透交易所,并在美国设立壳公司以针对加密开发者。
尽管头条新闻常常集中在大规模盗窃上,但现实更简单——也更令人震惊。Web3最薄弱的一层不是智能合约,而是人类。
国家级攻击者不再需要在Solidity中寻找零日漏洞。他们针对的是去中心化团队的操作漏洞:糟糕的密钥管理、缺乏入职流程、未经审查的贡献者从个人笔记本电脑推送代码,以及通过Discord投票进行的财务治理。尽管我们行业谈论了韧性和抗审查,但许多协议仍然是严重对手的软目标。
在Oak Security,我们在主要生态系统中进行了超过600次审计,我们始终看到这个差距:团队在智能合约审计上投入巨大,但忽视了基本的操作安全(OPSEC)。结果是可预测的。不充分的安全流程导致贡献者账户被攻破、治理被劫持和可避免的损失。
智能合约的幻觉:安全的代码,不安全的团队
尽管在智能合约安全上投入了大量资金和人才,但大多数DeFi项目仍未能满足操作安全的基本要求。假设似乎是,如果代码通过了审计,协议就是安全的。这种信念不仅天真——而且危险。
现实是,智能合约漏洞不再是首选的攻击方法。攻击系统运行者更容易——而且往往更有效。许多DeFi团队没有专门的安全负责人,选择在没有任何人正式负责OPSEC的情况下管理巨额财务。这本身就应该引起关注。
至关重要的是,OPSEC失败并不仅限于来自国家支持团体的攻击。2025年5月,Coinbase披露一名海外支持代理——被网络犯罪分子贿赂——非法访问了客户数据,触发了1.8亿至4亿美元的补救和赎金困境。恶意行为者对Binance和Kraken进行了类似的尝试。这些事件并不是由编码错误引起的——而是源于内部贿赂和前线人类的失败。
漏洞是系统性的。在整个行业中,贡献者通常通过Discord或Telegram进行入职,没有身份检查、没有结构化的配置,也没有可验证的安全设备。代码更改往往从未经审查的笔记本电脑推送,几乎没有终端安全或密钥管理。敏感的治理讨论在像Google Docs和Notion这样的不安全工具中展开,没有审计记录、加密或适当的访问控制。当事情不可避免地出错时,大多数团队没有响应计划,没有指定的事件指挥官,也没有结构化的沟通协议——只有混乱。
这不是去中心化。这是操作上的疏忽。有些DAO管理着5亿美元的资产,但会在基本的OPSEC审计中失败。有些财务由治理论坛、Discord投票和周末多重签名保护——这是对恶意行为者的公开邀请。直到安全被视为从密钥管理到贡献者入职的全栈责任,Web3将继续通过其最脆弱的层面泄漏价值。
DeFi可以从TradFi安全文化中学到什么
TradFi机构经常成为朝鲜黑客及其他攻击者的目标——因此,银行和支付公司每年损失数百万美元。但在面对网络攻击时,传统金融机构崩溃或暂停运营的情况很少见。这些组织的运作假设是攻击是不可避免的。他们设计分层防御,降低攻击的可能性,并在漏洞发生时最小化损害,这种文化的持续警惕性是DeFi仍然在很大程度上缺乏的。
在银行,员工不会从个人笔记本电脑访问交易系统。设备经过加固并持续监控。访问控制和职责分离确保没有单个员工可以单方面移动资金或部署生产代码。入职和离职流程是结构化的;凭证的发放和撤销都经过仔细处理。当出现问题时,事件响应是协调的、经过实践的和有文档记录的——而不是在Discord中即兴发挥。
Web3需要采用类似的成熟度,但要适应去中心化团队的现实。
这从第一天开始就要执行OPSEC手册,进行红队模拟测试钓鱼、基础设施妥协和治理劫持——不仅仅是智能合约审计——并使用由个人硬件钱包或财务管理支持的多重签名钱包。团队应该审查贡献者,并对任何有权访问生产系统或财务控制的人进行背景调查——即使在自认为完全“去中心化”的团队中。
一些项目开始在这方面领先,投资于结构化的安全程序和企业级的密钥管理工具。其他项目则利用先进的安全运营(SecOps)工具和专门的安全顾问。但这些做法仍然是例外,而不是常态。
去中心化不是疏忽的借口
是时候面对许多Web3团队在操作安全方面滞后的真正原因:在去中心化、全球分布的组织中实施是困难的。预算紧张,贡献者流动性大,对网络安全原则的文化抵制仍然强烈,这些原则常常被误解为“中心化”。
但去中心化不是疏忽的借口。国家级对手了解这个生态系统。他们已经在大门内。而全球经济越来越依赖链上基础设施。Web3平台迫切需要采用并遵循严格的网络安全实践,否则将面临成为黑客和诈骗者永久资金来源的风险,这些人试图破坏它们。
仅靠代码无法保护我们。文化才能。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
