2025年加密行业创纪录的损失并非主要源于复杂的智能合约漏洞或协议级代码故障。相反,最大的安全漏洞追溯到一个更根本的弱点:现在在暗网和地下市场流通的大量被泄露密码。全球数十亿的凭证被泄露,攻击者比以往任何时候都更容易通过简单的凭证盗窃和社会工程学手段渗透加密钱包、交易所账户和企业基础设施,而非昂贵的技术攻击。“关于加密黑客的叙事已经发生了根本性转变,”链上安全平台Immunefi的CEO米切尔·阿马多在分析新兴威胁格局时表示,“尽管2025年是安全损失最严重的一年,但大部分损害源自操作漏洞和被泄露的凭证,而非代码漏洞。”这一区别对行业在2026年及以后应如何应对防御具有深远意义。虽然开发者庆祝链上协议安全的可衡量改善,但实际的攻击面已完全转移到密码、身份验证系统和人为决策流程上。## 从代码漏洞到凭证盗窃:安全范式的转变DeFi协议和主要的链上系统通过传统技术手段变得极难被攻破。安全审计、形式验证方法和漏洞赏金计划系统性地减少了可利用的代码漏洞。然而,与此同时,加密货币行业面临一个逆向问题:随着技术安全的增强,人为操作安全成为主要的薄弱环节。全球泄露的190亿密码数字凸显了这一转变的规模。这些凭证中的每一个都可能成为进入加密账户、企业系统和机构基础设施的入口。攻击者不再需要开发零日漏洞或花费数月分析字节码;他们可以简单地获取密码数据库,交叉引用加密货币交易所的电子邮件地址,然后发起有针对性的凭证填充攻击。“超过90%的项目仍然存在关键的、可被利用的代码漏洞,”阿马多承认,但他强调了一个逆向的现实:“链上安全正在显著改善。2026年的真正战场将是在人的监督防线,而非智能合约本身。”## 社会工程学利用数十亿被盗密码Chainalysis的2026年加密犯罪报告显示,诈骗和欺诈现已大大超过传统基础设施黑客,成为主要的损失途径。2025年,约170亿美元因诈骗和欺诈 schemes 消失——这一令人震惊的数字反映了凭证攻击的规模。最具破坏性的策略是结合被泄露的密码和社会工程学的精准攻击。冒充诈骗单独激增了1400%,攻击者假扮合法支持人员、交易所代表和协议开发者,诱使受害者自愿交出身份验证凭证或私钥。本月早些时候,区块链研究员ZachXBT曝光了一场复杂的社会工程攻击,攻击者通过该行动获得了2.82亿美元的比特币和莱特币。受害者在攻击者(可能利用被泄露的员工凭证或拦截的通信)操纵下,将资金转入攻击者控制的钱包,损失了205万LTC和1459 BTC。这些被盗资产立即通过隐私混合器流向门罗币兑换点。这些事件说明了被泄露密码、社会工程学和攻击者技术的碰撞,给个人用户甚至机构带来了几乎无法逾越的障碍。攻击者的工具箱不再需要深厚的区块链知识——只需访问被盗凭证和具备说服力的社会工程技巧。## AI放大威胁:诈骗激增,检测滞后人工智能从根本上改变了凭证攻击的经济性和规模。根据Chainalysis的数据,2025年,AI支持的诈骗操作比传统方案的利润高出450%,因为AI可以自动化 victim targeting、钓鱼信息生成和社会工程学,达到前所未有的规模。这种效率提升意味着攻击者现在可以比以往更快、更智能地处理数十亿被泄露的密码。AI系统不再需要手动搜索特定受害者的凭证,而是可以自动交叉比对被泄露的密码数据库与已知的加密货币用户,识别高价值目标,生成个性化的社会工程脚本,并在多个渠道同时执行协调攻击。然而,防御措施仍然不足。阿马多指出了一个令人震惊的差距:“行业中不到1%采用防火墙保护,少于10%部署了AI驱动的检测工具。”这一防御缺口意味着,被泄露的密码库持续为攻击提供燃料,而机构采用保护技术的比例仍然微不足道。## 链上安全改善,但人为防线仍脆弱2025年的悖论在于:链上安全显著增强,但总损失却在上升。当我们审视实际发生的漏洞时,这一矛盾得以解释。协议代码变得更具韧性,但人为层面——密码、员工访问权限、社会工程的易受攻击性——变得同样脆弱,成为主要的攻击面。阿马多预测,2026年将是“纯粹从代码角度来看,链上安全的最佳年份”。DeFi协议将继续增强对传统漏洞的防御。然而,他同时警告,这一技术进步掩盖了更深层次的脆弱性:“人因素现在是链上安全专家和Web3玩家必须优先考虑的薄弱环节。”这一点具有严峻的意义。随着数十亿被泄露的密码在地下市场和攻击者社区中持续流通,凭证攻击的门槛不断降低。拥有190亿被泄露密码数据库的攻击者只需少量的技术——只需坚持、社会工程技巧和耐心寻找脆弱目标。## 为2026年做准备:新的安全前沿加密安全演变的下一阶段将在与历史上的协议安全战不同的战场展开。阿马多强调:“在2026年,AI将改变双方的安全节奏——防御者将依赖AI驱动的监控和响应,以机器速度应对威胁,而攻击者也会部署相同的工具进行漏洞研究和大规模社会工程。”一种新兴且可能更具破坏性的威胁是链上AI代理——自主执行金融决策的系统,无需人为干预。这些代理引入了新的攻击面:“链上AI代理可以比人类操作员更快、更强大,”阿马多警告,“如果它们的访问路径或控制层被破坏,就会面临被操控的风险。”随着行业迈向自主交易和协议管理系统,安全影响尚未得到充分探索。全球流通的190亿被泄露密码仅代表当前的危机层面。随着AI加速攻击行动和自主系统的普及,安全重点将从代码审计转向操作硬化:员工培训、凭证管理、访问控制系统和监控基础设施。在攻击者发现窃取数十亿密码比试图攻破逐渐变得更具韧性的代码带来更高回报之前,这一局势可能会持续到2026年。
190亿被泄露的密码暴露了加密的核心漏洞:操作风险,而非代码缺陷
2025年加密行业创纪录的损失并非主要源于复杂的智能合约漏洞或协议级代码故障。相反,最大的安全漏洞追溯到一个更根本的弱点:现在在暗网和地下市场流通的大量被泄露密码。全球数十亿的凭证被泄露,攻击者比以往任何时候都更容易通过简单的凭证盗窃和社会工程学手段渗透加密钱包、交易所账户和企业基础设施,而非昂贵的技术攻击。
“关于加密黑客的叙事已经发生了根本性转变,”链上安全平台Immunefi的CEO米切尔·阿马多在分析新兴威胁格局时表示,“尽管2025年是安全损失最严重的一年,但大部分损害源自操作漏洞和被泄露的凭证,而非代码漏洞。”
这一区别对行业在2026年及以后应如何应对防御具有深远意义。虽然开发者庆祝链上协议安全的可衡量改善,但实际的攻击面已完全转移到密码、身份验证系统和人为决策流程上。
从代码漏洞到凭证盗窃:安全范式的转变
DeFi协议和主要的链上系统通过传统技术手段变得极难被攻破。安全审计、形式验证方法和漏洞赏金计划系统性地减少了可利用的代码漏洞。然而,与此同时,加密货币行业面临一个逆向问题:随着技术安全的增强,人为操作安全成为主要的薄弱环节。
全球泄露的190亿密码数字凸显了这一转变的规模。这些凭证中的每一个都可能成为进入加密账户、企业系统和机构基础设施的入口。攻击者不再需要开发零日漏洞或花费数月分析字节码;他们可以简单地获取密码数据库,交叉引用加密货币交易所的电子邮件地址,然后发起有针对性的凭证填充攻击。
“超过90%的项目仍然存在关键的、可被利用的代码漏洞,”阿马多承认,但他强调了一个逆向的现实:“链上安全正在显著改善。2026年的真正战场将是在人的监督防线,而非智能合约本身。”
社会工程学利用数十亿被盗密码
Chainalysis的2026年加密犯罪报告显示,诈骗和欺诈现已大大超过传统基础设施黑客,成为主要的损失途径。2025年,约170亿美元因诈骗和欺诈 schemes 消失——这一令人震惊的数字反映了凭证攻击的规模。
最具破坏性的策略是结合被泄露的密码和社会工程学的精准攻击。冒充诈骗单独激增了1400%,攻击者假扮合法支持人员、交易所代表和协议开发者,诱使受害者自愿交出身份验证凭证或私钥。
本月早些时候,区块链研究员ZachXBT曝光了一场复杂的社会工程攻击,攻击者通过该行动获得了2.82亿美元的比特币和莱特币。受害者在攻击者(可能利用被泄露的员工凭证或拦截的通信)操纵下,将资金转入攻击者控制的钱包,损失了205万LTC和1459 BTC。这些被盗资产立即通过隐私混合器流向门罗币兑换点。
这些事件说明了被泄露密码、社会工程学和攻击者技术的碰撞,给个人用户甚至机构带来了几乎无法逾越的障碍。攻击者的工具箱不再需要深厚的区块链知识——只需访问被盗凭证和具备说服力的社会工程技巧。
AI放大威胁:诈骗激增,检测滞后
人工智能从根本上改变了凭证攻击的经济性和规模。根据Chainalysis的数据,2025年,AI支持的诈骗操作比传统方案的利润高出450%,因为AI可以自动化 victim targeting、钓鱼信息生成和社会工程学,达到前所未有的规模。
这种效率提升意味着攻击者现在可以比以往更快、更智能地处理数十亿被泄露的密码。AI系统不再需要手动搜索特定受害者的凭证,而是可以自动交叉比对被泄露的密码数据库与已知的加密货币用户,识别高价值目标,生成个性化的社会工程脚本,并在多个渠道同时执行协调攻击。
然而,防御措施仍然不足。阿马多指出了一个令人震惊的差距:“行业中不到1%采用防火墙保护,少于10%部署了AI驱动的检测工具。”这一防御缺口意味着,被泄露的密码库持续为攻击提供燃料,而机构采用保护技术的比例仍然微不足道。
链上安全改善,但人为防线仍脆弱
2025年的悖论在于:链上安全显著增强,但总损失却在上升。当我们审视实际发生的漏洞时,这一矛盾得以解释。协议代码变得更具韧性,但人为层面——密码、员工访问权限、社会工程的易受攻击性——变得同样脆弱,成为主要的攻击面。
阿马多预测,2026年将是“纯粹从代码角度来看,链上安全的最佳年份”。DeFi协议将继续增强对传统漏洞的防御。然而,他同时警告,这一技术进步掩盖了更深层次的脆弱性:“人因素现在是链上安全专家和Web3玩家必须优先考虑的薄弱环节。”
这一点具有严峻的意义。随着数十亿被泄露的密码在地下市场和攻击者社区中持续流通,凭证攻击的门槛不断降低。拥有190亿被泄露密码数据库的攻击者只需少量的技术——只需坚持、社会工程技巧和耐心寻找脆弱目标。
为2026年做准备:新的安全前沿
加密安全演变的下一阶段将在与历史上的协议安全战不同的战场展开。阿马多强调:“在2026年,AI将改变双方的安全节奏——防御者将依赖AI驱动的监控和响应,以机器速度应对威胁,而攻击者也会部署相同的工具进行漏洞研究和大规模社会工程。”
一种新兴且可能更具破坏性的威胁是链上AI代理——自主执行金融决策的系统,无需人为干预。这些代理引入了新的攻击面:“链上AI代理可以比人类操作员更快、更强大,”阿马多警告,“如果它们的访问路径或控制层被破坏,就会面临被操控的风险。”随着行业迈向自主交易和协议管理系统,安全影响尚未得到充分探索。
全球流通的190亿被泄露密码仅代表当前的危机层面。随着AI加速攻击行动和自主系统的普及,安全重点将从代码审计转向操作硬化:员工培训、凭证管理、访问控制系统和监控基础设施。在攻击者发现窃取数十亿密码比试图攻破逐渐变得更具韧性的代码带来更高回报之前,这一局势可能会持续到2026年。