加密资产保卫战：黑客半年狂卷21亿！普通用户必学的4大救命法则

据 Web3 网路安全公司 CertiK 的最新统计数据显示，2025 年至今，加密货币骇客已对行业造成高达 21 亿美元的损失，已经逼近 2024 年的 23 亿美元。同时值得注意的是，骇客的攻击策略正在改变：过去，骇客主要针对智能合约和区块链基础设施的漏洞下手，但如今他们更专注于利用人类行为的弱点犯罪。
（前情提要：ZachXBT：币托BitoPro疑在5月8日遭骇客攻击损失1150万美元）

尽管加密货币骇客攻击已经是老生常谈的话题，但 Web3 网路安全公司 CertiK 的最新统计数据显示，2025 年至今，加密货币骇客已对行业造成高达 21 亿美元的损失，已经逼近 2024 年的 23 亿美元。

同时，其中大部分窃案源于钱包泄露和钓鱼攻击。CertiK 共同创办人 Ronghui Gu 也表示，加密货币骇客的攻击策略正在改变：过去，骇客主要针对智能合约和区块链基础设施的漏洞下手，但如今他们更专注于利用人类行为的弱点犯罪。Ronghui Gu 指出：

这 21 亿美元的损失大多数是由钱包泄露、密钥管理不当和操作问题引起的。

如何在 2025 年保护你的加密资产？

在骇客攻击日益猖獗的背景下，CertiK 对此在一份报告中强调，随著钓鱼攻击的增加，所有 Web3 参与者都应学习如何保护自己的加密货币。以下则是几个实用的防护建议：

避免钓鱼攻击

钓鱼攻击已不再局限于可疑的电子邮件。骇客现在正使用更精密的技术来欺骗 Web3 用户，包括：

• 鱼叉式钓鱼（Spear Phishing）：骇客冒充可信任的个人或实体，诱骗用户泄露敏感资讯或授权非法存取。
• 去中心化应用（DApp）钓鱼：骇客创建假的去中心化应用（DApps），诱骗用户连接到钱包，导致资产被盗。
• 社交帐户泄露：骇客入侵 Web3 影响者或组织的社交媒体帐户，推广诈骗连结或假赠品。

为防范这些攻击，务必在交易前使用 etherscan、bscscan 或 solscan 等平台验证网址和智能合约的真实性。切勿批准你未主动发起的交易，并在确认交易前再次检查。如对已授权的 DApp 权限有疑虑，可使用 revoke.cash 撤销权限。最后，永远不要点击私人讯息中的连结，并检查可疑网址、假 SSL 认证或诈骗连结。

使用冷钱包

冷钱包是一种离线储存私钥的实体设备，能在不暴露私钥的情况下签署交易，与线上热钱包相比，远离远端攻击的风险。冷钱包适合长期储存或不常使用的资产，能有效降低依赖第三方平台的风险。然而，单靠冷钱包并不够，建议搭配多重签名认证或双重认证（2FA）以增加安全层级。

在社交媒体上保持谨慎

社交媒体是骇客的温床，他们常冒充知名人士或创建假帐户，推广假赠品或发送恶意连结，诱导用户快速行动。Telegram 和 Discord 上的诈骗群组也日益增加，模仿官方项目频道散布虚假资讯。为保护自己，建议关闭陌生人的私人讯息功能，仅追踪经过验证的帐户，并以官方网站的公告为准。切勿在社交媒体上分享钱包相关的萤幕截圖或个人资讯，以免成为钓鱼攻击的目标。

自我教育

用户需不断加强资产保护意识，一方面，可以通过学习各种骇客入侵案例，避免自己陷入同样的骗局；另一方面，则可以加强学习资产保护方法，以防给骇客可乘之机。