新聞 
幣種資訊 
關於我們 
根據「블록체인 보안업체 노미니스(Nominis)」於 2 月發布的最新報告顯示,2 月整體加密貨幣攻擊「損失金額」大幅縮水,但攻擊手法卻出現明顯轉向:從傳統鎖定「程式碼漏洞」的技術型駭侵,逐步演變為專門針對「人」與「操作行為」的社交工程與詐騙攻擊。這種結構性變化,正成為目前「加密貨幣安全」生態系中最值得關注的風險之一。
根據報告統計,2 月加密貨幣攻擊造成的總損失約為 4,930 萬美元(約 739 億韓元),相較 1 月的 3 億 8,500 萬美元(約 5,771 億韓元)縮減約 87%。表面數字看來,「損失規模」明顯降低,似乎意味著「區塊鏈安全」有所改善。不過,「노미니스」指出,若深入拆解各類攻擊事件,可以發現攻擊者並未退場,而是改以更難以防範的方式滲透,用戶與團隊「操作流程」正逐漸取代程式漏洞,成為新的薄弱環節。
2 月單月最大案件,來自「Solana(SOL)」生態內的去中心化金融(DeFi)平台「Step Finance」。依據調查,攻擊者疑似先入侵「專案核心營運成員」的裝置,取得「私鑰」或「交易授權」相關權限,隨後將專案錢包中質押的 261,854 枚 SOL 解除質押並轉移至外部錢包,按當時市價約等同 4,000 萬美元(約 599 億韓元)。這起事件一案,就占了 2 月整體攻擊「損失金額」超過六成。受此衝擊,「Step Finance」被迫暫停核心平台運作,相關服務如「SolanaFloor」與「Remora Markets」也同步中止服務。
即便攻擊焦點逐步轉向「人」,「智能合約」與「跨鏈橋」層面的風險並未消失。報告指出,多起中、大型事件仍與「程式設計缺陷」直接相關。例如,跨鏈橋協議「CrossCurve」遭駭約 300 萬美元(約 45 億韓元),攻擊者利用的是其在處理來自「Axelar」網路訊息時的「驗證邏輯錯誤」,成功繞過安全檢查。另一個去中心化借貸協議「YieldBlox」則因「抵押品價格計算邏輯」遭惡意操控,使攻擊者得以超額借款,累計損失約 1,020 萬美元(約 153 億韓元),顯示「智能合約審計」與「風險參數設計」仍是 DeFi 協議的關鍵痛點。
除了協議層,個人用戶也持續成為攻擊目標,各式誘騙與詐騙手法不斷翻新。2 月常見的一種模式是「地址汙染(Address Poisoning)」,攻擊者會送出與受害者常用收款地址「極為相似」的地址,混入交易紀錄,讓使用者在日後複製貼上時不慎將資金轉入惡意地址。這類手法造成的單筆損失從約 10 萬美元至 60 萬美元不等。此外,不少用戶習慣性對「惡意代幣」或「釣魚網站」發出的「授權請求」簽名,結果讓攻擊者取得代幣轉出權限,錢包資金因此被「一次性清空」,凸顯「簽名內容」與「授權權限」教育仍明顯不足。
多個安全團隊與執法單位,也在 2 月公布了與加密貨幣詐騙相關的最新調查結果。「區塊鏈安全公司 슬로우미스트(SlowMist)」發布一份技術分析報告,揭露一場專門鎖定「加密貨幣專案管理者」的網路釣魚行動。攻擊者仿造「代幣解鎖與歸屬(Vesting)管理工具」,建立看似專業的假平台,誘導專案方將「智能合約控制權限」授予惡意合約,最終導致合約資金被轉移或鎖死。在韓國,執法單位也正在調查一起因「種子片語(seed phrase)」意外曝光而引發的重大竊案:嫌犯疑似透過一張照片取得受害者的錢包「種子片語」,藉此重建錢包並轉走約 500 萬美元(約 75 億韓元)等值資產。
美國方面,根據美國司法部於 24 日(當地時間)公布的訊息,執法機關針對「Pig Butchering(殺豬盤)」投資詐騙展開追查,並已扣押與此類騙局相關的加密貨幣資產約 6,100 萬美元(約 914 億韓元)。調查團隊透過「區塊鏈交易追蹤」技術,追溯資金流向,鎖定多個關鍵錢包,再配合司法程序完成資產凍結與沒收,顯示執法單位在「鏈上分析」與「跨境合作」方面的能力正逐漸成熟。
「노미니스」在報告中強調,當前「加密貨幣安全」格局正發生本質性轉變。過去主流威脅集中在「智能合約漏洞」與「協議機制設計缺陷」,如今「帳戶竊取」、「惡意授權」、「地址混淆」等鎖定「使用者行為」的攻擊,已佔整體事件多數。「報告」直言,目前加密貨幣生態中最脆弱的一環,已不再是「區塊鏈技術本身」,而是「使用者與團隊的操作模式與安全習慣」。
評論
這份報告點出一個關鍵趨勢:隨著主流公鏈與 DeFi 協議的「技術防線」逐步強化,攻擊重心自然轉向「人」這個最難被程式碼保護的環節。對專案方而言,傳統只重視「合約審計」已不再足夠,內部「權限管理」、團隊「設備資安」、以及針對管理者與用戶的「安全教育」,都必須同步升級。對一般用戶來說,「私鑰與種子片語絕不曝光」、「每一次簽名都看清授權內容」、「匯款前逐字比對地址」等基本操作,將在未來相當長一段時間內,決定個人資產能否躲過下一波攻擊。
留言 0