币态网
今年,加密黑客的社会工程欺诈手段达到了新高度,人工智能的进步使得这些骗局更加难以识别。
加密安全专家表示,明年大多数加密货币的漏洞利用将不是源自你熟悉的协议中的零日漏洞,而是由于用户的行为所致。
根据2025年的数据,大多数黑客攻击并非由恶意代码引发,而是通过对话进行的,Kraken的首席安全官Nick Percoco向Cointelegraph透露。
"攻击者并不是强行闯入系统,而是被邀请进入的。"Chainalysis的数据显示,从2025年1月至12月初,加密行业遭受了超过34亿美元的资金被盗,其中2月份Bybit的安全漏洞占据了近一半的损失。
在攻击过程中,黑客通过社交工程手段获得访问权限,注入恶意JavaScript代码,进而修改交易细节并窃取资金。
什么是社会工程?
社会工程是一种网络攻击方式,旨在操纵人们泄露机密信息或执行危害安全的行为。
Percoco指出,加密货币安全的关键在于人们的思维,而非单纯的网络防护。"安全不再是建造更高的墙,而是训练思维识别操控手段。目标应简单:不要因为某人听起来像内部人员或制造恐慌而轻易交出系统钥匙。"
技巧1:尽可能使用自动化
Percoco提到,供应链漏洞已成为今年的重大挑战,微小的漏洞可能导致严重后果,因为"整个系统就像叠叠高,每个模块的完整性至关重要。"
在未来一年,他建议通过尽可能实现防御自动化和身份验证来减少人为信任环节,从而"从被动防御转向主动预防"。
"加密货币安全的未来将由更智能的身份验证和AI驱动的威胁检测系统塑造。我们正进入一个系统能够在用户甚至训练有素的安全分析师察觉异常之前就识别威胁的时代。""在加密货币领域,最脆弱的环节仍然是人类的信任,常常被贪婪和FOMO(害怕错过)心理放大。这正是攻击者所利用的缺口。但没有任何技术能替代良好的安全习惯,"他补充道。
技巧2:隔离基础设施
慢雾科技的安全运营负责人Lisa指出,今年黑客越来越多地针对开发者生态系统,这与云凭证泄露现象结合,为注入恶意代码、窃取机密信息和污染软件更新创造了条件。
"开发者可以通过固定依赖版本、验证软件包完整性、隔离构建环境以及在部署前审查更新来降低这些风险,"她强调。
展望2026年,Lisa预测最显著的网络安全威胁可能来源于日益复杂的凭证窃取和社会工程攻击。
"威胁行为者已经开始利用AI生成的深度伪造技术、定制钓鱼攻击,甚至虚假开发者招聘测试来获取钱包密钥、云凭证和签名令牌。这些攻击变得更加自动化和具有欺骗性,我们预计这一趋势将持续发展,"她进一步解释。
为确保安全,Lisa建议各组织实施强有力的访问控制、定期轮换密钥、使用硬件支持的身份认证、基础设施分割以及异常检测和监控系统。
个人用户应依靠硬件钱包,避免与未经验证的文件交互,通过独立渠道交叉验证身份,并对未经请求的链接或下载内容保持高度警惕。
技巧3:利用个人身份证明对抗AI深度伪造
区块链网络安全公司Halborn的联合创始人兼首席技术官Steven Walbroehl预测,AI增强型社会工程攻击将在加密货币黑客的攻击手段中占据重要地位。
今年3月,至少三位加密货币创始人报告称,他们成功挫败了来自朝鲜黑客组织利用深度伪造技术制作的虚假Zoom通话窃取敏感数据的企图。
Walbroehl警告,黑客正在利用AI创建高度个性化的攻击手段,从而有效绕过传统的安全意识培训防线。
为应对这些威胁,他建议对所有关键通信实施加密的个人身份证明机制、使用生物特征绑定的硬件认证系统、建立正常交易模式的基准分析异常检测系统,以及使用预共享密钥或特定短语建立验证协议。
技巧4:保管好你的加密货币
扳手攻击(即对加密货币持有者的肢体攻击)在2025年成为一个突出安全议题,根据比特币元老Jameson Lopps在GitHub上的统计,今年至少记录了65起此类事件。2021年牛市高峰期则是历史上最严重的一年,共记录了36起攻击事件。
前CIA官员、X平台用户Beau在12月2日的帖子中表示,尽管扳手攻击仍然相对罕见,但他强烈建议加密货币用户采取预防措施,首要原则是不在网上谈论个人财富或披露加密货币持有情况及奢侈生活方式。
他进一步建议用户成为"难以攻击的目标",可以通过数据清理工具隐藏个人私密信息(如家庭住址),并投资家庭安全防御系统,如安装安全摄像头和警报设备等措施。
技巧5:坚守经典安全原则不可懈怠
David Schwed,这位曾在Robinhood担任首席信息安全官的资深安全专家指出,他的首要建议是选择那些能够展示严格安全实践的知名企业,这些机构应定期对其整个技术栈进行全面的第三方安全审计,包括智能合约到基础设施的各个层面。
然而,Schwed强调,无论采用何种技术,用户都应避免在多个账户中重复使用相同密码,优先选择硬件令牌作为多因素认证方式,并通过安全加密或存储在安全的物理离线位置来妥善保护助记词。
他进一步建议用户为大额资产使用专用硬件钱包,并尽量减少在交易所中的资产持有量。
"安全的核心在于交互层面。用户在将硬件钱包连接到新的网络应用时必须保持高度警觉,并在签名前全面验证硬件设备屏幕上显示的交易数据。这样可以有效防止'盲目签署'恶意合约的风险,"Schwed补充道。
Lisa表示,她的核心安全建议包括仅使用官方软件,避免与未验证的URL进行交互,并将资金分别存储在热钱包、温钱包和冷钱包配置中。
针对日益复杂的社会工程学和网络钓鱼等诈骗手段,Kraken的Percoco建议用户始终保持"彻底的怀疑态度",通过验证真实性并将每条消息视为安全意识测试。
"有一条亘古不变的真理:任何合法的公司、服务或机会绝不会索要您的助记词或登录凭据。一旦出现这种要求,您面对的就是骗子,"Percoco强调道。
同时,Walbroehl推荐使用加密安全的随机数生成器创建密钥,严格分离开发和生产环境,定期进行安全审计,并制定事件响应计划及定期演练。
相关推荐:这个圣诞节不平静!多名Trust Wallet用户钱包资金未经授权流出
#比特币
#区块链
#克拉肯交易所
#代币
#企业
#Security
#Cybersecurity
