从 2022 年 Ronin Bridge 遭骇 6.25 亿美元,到 2025 年的多起高调攻击,北韩骇客正将加密世界视为提款机。资安公司 Oak Security 分析,他们不再只是用漏洞攻击智能合约,而是瞄准 Web3 团队最脆弱的一环:人。这场攻防战,已不再是技术与技术的对决,而是安全文化与松散管理的拉锯战。
(水家人流下眼泪!Sui 主要 DEX Cetus 丢失超过 2.6 亿美元,蒸发 83% TVL)
Table of Contents
Toggle北韩骇客火力全开,2025 年再盗数十亿美元
北韩背景的骇客行动愈发活跃。仅在 2025 年,他们就发起一连串针对加密产业的高精度攻击行动,意图盗取资产、渗透核心团队。他们试图从交易所 Bybit 中窃取价值高达 15 亿美元 的资产,利用假征才信骗取帐密,并已成功洗出数百万美元。
此外,他们还针对 MetaMask 与 Trust Wallet 发动恶意程式攻击,试图透过「伪装成求职者」的方式渗透交易所内部,更在美国境内设立空壳公司,专门锁定加密开发者下手。
这些攻击越来越精细,手段越来越多元,但核心并不在于技术突破,而是针对「操作安全」的破绽下手。
(北韩骇客盯上台湾交易所?BitoPro 币托遭骇失 1150 万美元,疑似与 Bybit 15 亿失窃案同集团)
骇客不再找漏洞,他们只找人类失误
Web3 团队长年专注在智能合约安全,却普遍忽略组织运营中的营运安全问题(OPSEC,Operational Security)。来自 Oak Security 的专家指出,该公司已对 600 多个加密专案进行安全审计,发现大多数团队对营运安全几乎没有设防。
常见问题包括:
私钥管理松散
贡献者透过 Discord 入职,未经任何身份验证
关键代码从未加密的个人笔电直接部署
治理与资金决策透过 Discord 投票进行
这些错误,让专案团队成为「不费吹灰之力」的攻击对象。
仅靠程式码防守,不足以抵御现代攻击
传统智慧认为「只要智能合约审计通过,系统就安全了」,但现实却完全相反。骇客根本不需要突破 Solidity 的零日漏洞,只要渗透一位内部人员,就能瘫痪整个专案。
2025 年 5 月,Coinbase 就因一名海外客服人员遭到骇客贿赂,导致客户资料外泄,面临 1.8 亿至 4 亿美元 的赔偿与勒索风险。同样的手法也试图应用于 Binance 与 Kraken。
这些事件都不是技术错误,而是人为疏失。
Web3 的日常作业,成了骇客天堂
目前 Web3 团队的日常操作堪称骇客梦想:
无正式入职流程
无设备控管与端点防护
关键治理与财务会议纪录存放于未加密的 Google Docs 或 Notion
发生事故时无应变计划,只能「靠 Discord 临时协调」
更令人担忧的是,有些 DAO 掌管上亿美元资产,却用业余的 Discord 投票与「周末版多签」进行治理,安全漏洞如同开门迎贼。
传统金融如何守住百亿资产?Web3 该学习的地方还很多
传统金融(TradFi)机构同样面对来自北韩骇客与全球网攻压力,但鲜少因此停摆,靠的是系统性防御与成熟的安全文化。
银行内部制度包含:
员工无法从个人设备操作交易
严格的身份与设备管理
明确分工与职责隔离
定期演练事故应变计划
这些都不只是「为了合规」,更是保命之道。Web3 若真想长久发展,就得从这些制度中学习,打造符合去中心化特性的全方位安全框架。
安全不该只是「选配」,Web3 需要彻底改革文化
一些前卫项目已开始导入:
制式的 OPSEC 准则
红队演练(Red Team Simulations)
使用硬体钱包搭配多签治理
背景审查与身份验证机制
安全专责人与外部顾问常驻
但可惜的是,这类措施仍是少数例外,绝非产业常态。
去中心化不是不负责任的借口
Web3 安全落后的一个核心原因,是「去中心化」与「安全控制」之间的矛盾。许多团队预算不足、人员流动性高,甚至对资安有文化抗拒,认为「设定防火墙就是中心化」。
但现实很残酷:北韩骇客已在系统内部,世界经济也正逐步建立在区块链之上。
若 Web3 继续容忍这样的运营松散,骇客与诈骗集团将会持续视其为「永续资金池」。要止血,不是写出完美程式码,而是建立更成熟的组织安全文化。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。
谈及加密货币支付的未来模样,其实是在追问一个本质问题:到底什么样的支付方式,才是加密世界真正的解法?是刷卡消费、还是不需要中介汇兑就能无缝出金?本文从三位市场参与者的视角切入,重新厘清问题与潜在答案。
Table of Contents
Toggle不是失败,而是结束过渡:Infini 为什么放弃 U 卡?
几天前,加密支付新创 Infini 宣布关闭其个人用户加密金融卡 (U 卡) 业务,引发外界惋惜,不过对内部来说,这似乎是一个早已能预见的未来。
(Infini 宣布关闭加密金融卡服务:U 卡注定被传统金融支付路径卡死了吗?)
Infini 共同创办人郡主在昨日与律动的专访中直言,U 卡虽有成效,但跟原本该公司「帮用户把 DeFi 收益变得简单」的初衷背道而驰:
U 卡其实是在把稳定币兑成 USD,最后又刷进传统金融体系,这就是在开历史的倒车。
合规成本高、退款流程冗长繁琐、TVL 未与持卡用户数同步成长,最终让团队认清,U 卡业务其实是一个偏离方向的插曲:「我们该做的是专注于帮用户理财。」
Infini 的放弃,不是因为支付需求不存在,而是因为它意识到:「卡片不是最终解法,只是对现状的一种妥协。」
U 卡的使用场景只是过渡性解法,未来应该是直接用稳定币支付。
稳定币原生支付:加密世界的真正终局
郡主口中的终局,是「用户不再需要出金、不再透过卡片,只要用钱包发送代币就能支付」。这乍听之下遥不可及的情况,从 Telegram mini-apps 到中国京东集团,似乎越来越多平台正试图将稳定币支付,原生整合进入自家的产品体验。
吴说区块链主编 Colin Wu 在他的三层理论中也观察到,加密领域代表链上原生生态 (BTC、DeFi 等) 的「最内层」虽已饱和,但稳定币、支付和清算等「第二层」应用仍潜力无穷:
回过头来看,这是「第三层」的传统金融做不到,最内层向外攻也难以为继,只有第二层擅长的地方。
(京东创办人刘强东布局稳定币:跨境支付费用降九成、10 秒内完成汇兑)
而这场突围,必须避开打著去中心化口号却走回传统架构的产品模式。真正的加密原生支付应该是在链上就能发送、接收并确认,用户以稳定币即时结算,而非从卡片扣款走银行清算。
心理门槛与技术门槛同样重要:信用卡代币回馈是好点子吗?
相比郡主与 Colin 的产品与产业观察,加密 KOL @VannaCharmer 从行为财务学 (Behavioral Finance) 的角度出发,以 Coinbase One Card 信用卡为例,强调「用信用卡点数自动投资高风险资产」是一个相当好的点子,利用用户对「点数不是钱」的心理错觉,降低进入加密世界的门槛:
心理战术很有效,信用卡点数感觉像是「免费的钱」,反正他本来就不是你的。失去 500 美元的点数比起从投资帐户中失去 500 美元,感觉痛苦要小得多,即便这概念上是一样的。
(Coinbase 携手美国运通推出信用卡,50 镁年费享 BTC 4% 消费回馈和旅游保险)
尽管这本身并非广义上的加密原生支付产品,但这仍是一个相当好的案例,体现要达到加密支付终局,不能只谈技术与商户端,还要让用户愿意进场并敢于使用,确保真正的普及。
打破中介,走向链上支付的未来
深思郡主「我们不该让加密支付回归银行体系」这句话时,指的不只是产品设计,而是整个加密领域该如何定义自己、要走出什么样的道路:是继续在传统金融的边缘临摹 Web2 玩法?还是重新打造属于自己的支付与结算体系?
(写在 ABCDE Capital 退场后:当 VC 相继下班,加密还有值得 Build 的未来吗?)
U 卡不是错误,也不会是最终答案,但仍激荡了创新设计的可能。期待未来加密支付大规模采用到来的那一天,我们甚至不再需要特地称它为「加密支付」的那一天。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。
