Cara Melindungi Kripto Anda Daripada Social Engineering pada 2026

加密货币安全专家表示,明年大多数加密货币漏洞不会由你最喜欢的协议中的零日漏洞引起。而是由你自己造成的。 

这是因为2025年表明,大多数黑客攻击并非始于恶意代码;而是始于一场对话,加密货币交易所Kraken的首席安全官Nick Percoco告诉Cointelegraph。 

Chainalysis的数据显示,从2025年1月到12月初,加密货币行业遭遇超过34亿美元的盗窃,其中2月份Bybit的安全漏洞占总数的近一半。 

在攻击期间,恶意行为者通过社交工程获得访问权限,注入恶意JavaScript有效载荷,使他们能够修改交易细节并窃取资金。

什么是社交工程? 

社交工程是一种网络攻击方法,通过操纵人们泄露机密信息或执行危害安全的操作。 

Percoco表示,加密货币安全的战场将在人的思维中,而不是网络空间。 

提示1:尽可能使用自动化 

Percoco表示,供应链漏洞也被证明是今年的一个关键挑战,因为一个看似微小的漏洞可能在以后证明是毁灭性的,因为"这是一座数字叠叠乐,每个单独区块的完整性都很重要。" 

在未来一年,Percoco建议通过尽可能自动化防御和通过身份验证验证每个数字交互等行动来减少人为信任点,实现"从被动防御向主动预防的转变"。

"特别是在加密货币领域,最薄弱的环节仍然是人类信任,被贪婪和FOMO放大。这就是攻击者每次利用的裂缝。但没有任何技术可以取代良好的习惯,"他补充道。

提示2:隔离基础设施

来自SlowMist的安全运营主管Lisa表示,今年恶意行为者越来越多地针对开发者生态系统,结合云凭证泄露,创造了注入恶意代码、窃取机密和破坏软件更新的机会。 

"开发人员可以通过锁定依赖版本、验证包完整性、隔离构建环境以及在部署前审查更新来降低这些风险,"她说。 

进入2026年,Lisa预测最重大的威胁可能来自日益复杂的凭证窃取和社交工程操作。 

"威胁行为者已经在利用AI生成的深度伪造、定制钓鱼攻击,甚至虚假的开发者招聘测试来获取钱包密钥、云凭证和签名令牌。这些攻击变得越来越自动化和有说服力,我们预计这一趋势将继续,"她说。 

为了保持安全,Lisa对组织的建议是实施强大的访问控制、密钥轮换、硬件支持的身份验证、基础设施分段以及异常检测和监控。 

个人应该依赖硬件钱包,避免与未验证的文件交互,通过独立渠道交叉检查身份,并谨慎对待未经请求的链接或下载。

提示3:使用人格证明对抗AI深度伪造

区块链网络安全公司Halborn的联合创始人兼首席技术官Steven Walbroehl预测,AI增强的社交工程将在加密货币黑客的策略中发挥重要作用。

今年3月,至少有三位加密货币创始人报告挫败了据称来自朝鲜黑客通过使用深度伪造的虚假Zoom通话窃取敏感数据的企图。

Walbroehl警告说,黑客正在使用AI创建高度个性化、情境感知的攻击,绕过传统的安全意识培训。

为了应对这一点,他建议对所有关键通信实施加密人格证明、具有生物特征绑定的基于硬件的身份验证、基准正常交易模式的异常检测系统,以及使用预共享秘密或短语建立验证协议。 

提示4:保护好你的加密货币

根据Bitcoin OG和密码朋克Jameson Lopp的GitHub列表,扳手攻击或对加密货币持有者的物理攻击也是2025年的一个突出主题,至少有65起记录在案的事件。2021年上一次牛市高峰是此前有记录以来最糟糕的一年,共有36起记录在案的攻击 

一位用户名为Beau的前CIA官员在12月2日的X帖子中表示,扳手攻击仍然相对罕见,但他仍然建议加密货币用户首先不要在网上谈论财富或披露加密货币持有量或奢侈生活方式来采取预防措施。 

他还建议通过使用数据清理工具隐藏私人个人信息(如家庭住址)以及投资家庭防御设施(如安全摄像头和警报器)来成为"难以攻击的目标"。 

提示5:不要忽视久经考验的安全提示 

曾在Robinhood担任首席信息安全官的安全专家David Schwed表示,他的首要建议是坚持使用展示警惕安全实践的信誉良好的企业,包括对其整个技术栈(从智能合约到基础设施)进行严格和定期的第三方安全审计。

然而,无论技术如何,Schwed表示用户应避免对多个账户使用相同的密码,选择使用硬件令牌作为多因素身份验证方法,并通过安全加密或将其离线存储在安全的物理位置来保护助记词。

他还建议对重要持有量使用专用硬件钱包,并最小化在交易所的持有量。

相关:鱼叉式钓鱼是朝鲜黑客的首要策略:如何保持安全

"安全取决于交互层。用户在将硬件钱包连接到新的Web应用程序时必须保持高度警惕,并且在签名前必须彻底验证硬件设备屏幕上显示的交易数据。这可以防止恶意合约的'盲签',"Schwed补充道。

Lisa表示,她的最佳建议是只使用官方软件,避免与未验证的URL交互,并将资金分散到热、温和冷配置中。 

为了应对日益复杂的社交工程和钓鱼等骗局,Kraken的Percoco建议始终保持"极端怀疑",通过验证真实性并假设每条消息都是对意识的测试。

"一个普遍的真理是:没有任何合法的公司、服务或机会会要求你提供助记词或登录凭证。一旦他们这样做,你就是在与骗子交谈,"Percoco补充道。 

与此同时,Walbroehl建议使用加密安全的随机数生成器生成密钥,严格隔离开发和生产环境,定期进行安全审计和事件响应规划以及定期演练。 

杂志:当隐私和反洗钱法律冲突时:加密项目的不可能选择