安全悖论:针对加密项目的攻击数量增长50%,但损失金额骤降60%
2026年上半年给加密货币行业带来了一个意外惊喜。安全事件数量同比激增近50%,但以美元计价的总体损失却减少了近60%。这一数据表明,攻击者的策略发生了根本性转变。
从1月到6月,我的分析团队共记录了182起攻击事件,总损失约9.56亿美元。相比之下,去年同期发生了121起事件,但损失高达23.73亿美元。这些数字显示出攻击频率与规模之间的脱节:小型事件显著增多,但主要财务损失仅集中在少数几个大型目标上。
最引人注目的盗窃案范围狭窄
数量最多的攻击(85起)与智能合约漏洞及协议逻辑缺陷有关。私钥泄露以17起事件位居第二,供应链攻击以12起排名第三。
然而,从损失分布来看,情况有所不同。供应链攻击成为损失的主要驱动因素,造成2.98亿美元的损失。其中关键因素是一起大规模事件——Kelp DAO协议被黑客攻击,给行业造成近2.92亿美元的损失。这是上半年最大的一起盗窃案,据我的同事称,这与朝鲜黑客组织Lazarus的活动有关。
合约漏洞导致1.52亿美元的损失,而私钥泄露又造成1.3亿美元的损失。在生态系统中,以太坊受损最严重:该网络的总损失约为1.34亿美元。
人工智能改变游戏规则
人工智能在网络威胁中作用的增强值得特别关注。AI极大简化了网络钓鱼和自动化攻击的实施。攻击者在各个阶段积极使用ChatGPT和Cursor等工具:从生成恶意代码到编写具有说服力的社会工程信息。
一个典型案例发生在2026年5月。黑客首先进行了一次NFT空投,提供了具有扩展权限的转账访问权限,然后向聊天机器人Grok发送了一条摩尔斯电码信息。机器人将其视为隐藏的资金转移指令。参与此链的BankrBot交易代理认为该交易安全,并将约17.5万美元转移到了链上地址。这是典型的AI代理信任链攻击:恶意指令通过相互信任的环节传递。
我的专家结论:安全团队目前面临两个根本性问题。攻击数量并未减少,而AI正在改变攻击的机制。行业迫切需要调整防御方法以适应新现实,因为攻击者使用技术的速度比我们应对的速度更快。