Web3 安全公司 Kerberus 最近的一份报告表明,人类行为现在是 Web3 的主要风险。
BeInCrypto采访了该公司的首席执行官 Alex Katz 和首席技术官 Danor Cohen,以了解用户为何持续遭受攻击以及他们可以采取哪些措施来更好地保护自己。
Kerberus报告显示,人为错误是造成Web3重大损失的主要原因。
Kerberus 在其最新报告《人为因素——实时保护是 Web3 网络安全中被忽视的一层(2025)》中指出,以人为中心的攻击是 Web3 中最具结构性危险的攻击途径。
该报告援引数据显示,行业损失的很大一部分源于用户操作失误。2024年,约44%的加密货币盗窃案是由于私钥管理不善造成的。另一项研究表明,约60%的安全漏洞都与人为错误有关。
预计到2025年,活跃钱包数量将达到8.2亿,威胁形势正在迅速扩大,每个人都面临风险。Katz告诉BeInCrypto ,不法分子既针对新手用户,也针对经验丰富的用户,但其动机却截然不同。
他说:“新用户之所以吸引人,是因为他们还不了解‘正常’的Web3行为是什么样的。”
有趣的是,这位高管指出,与新用户相比,老用户正成为越来越有价值的目标客户。据他所说,
“资深用户使用的去中心化应用(dApp)更多,签署的交易更多,交易金额也更大。这意味着哪怕一时的疏忽都可能造成更大的损失。因此,如今风险最大的群体是那些认为自己没有风险的人。”
科恩补充说,Web3领域最大的误解之一是认为安全漏洞源于用户不了解这项技术。他的分析恰恰相反。人们之所以会遭受黑客攻击,是因为系统给他们施加了不切实际的负担。
“用户会想,‘我这么聪明,不会被骗,我知道钱包的工作原理——我很安全。’但威胁形势的变化速度远超用户的反应速度。攻击者并非试图破解你的钱包,而是试图智胜你。而且他们在这方面非常擅长。人们误解的是,Web3 给用户带来了巨大的认知负担。用户不应该为了安全而费力解读技术信号——安全必须自动运行,”他说道。
为什么即使是精明的 Web3 用户在 2025 年仍然会感到资源耗尽?
尽管2025年安全领域的支出创下历史新高,但人为风险依然存在。Kerberus的报告指出,今年上半年,加密货币相关服务和投资者因黑客攻击和诈骗损失超过31亿美元。这已经超过了2024年全年的损失总额。
这个数字包含了历史上著名的Bybit泄露事件。即使不计入此次事件,诸如网络钓鱼和社会工程等针对人为攻击造成的损失仍然高达6亿美元,占剩余16.4亿美元损失的37%。
报告指出,随着用户数量的增长,这些攻击规模也随之扩大,并且完全绕过了技术防御。这使得传统的安全模型难以阻止它们。
尽管企业在审计、监控和代码审查方面投入巨资,但攻击者却越来越多地直接在交易层面攻击用户。究竟是什么让 人类如此容易受到这些攻击?
科恩详细解释道:“人类之所以容易上当受骗,是因为每一种骗局都旨在利用人们天然的心理捷径——紧迫感、权威感、熟悉感、害怕错失良机或习惯于常规。这些并非缺陷;它们正是我们日常生活中赖以生存的本能。科技本身无法改变人类心理,但它可以捕捉到心理被武器化的瞬间。”
他强调,最有效的保护措施不是仅仅依靠教育让用户避免犯错,而是在造成损害之前实时阻止有害行为。
“这就是为什么实时检测如此重要。如果你能在用户信任被操纵的瞬间发出警告,就能在大多数损失发生之前阻止它们,”科恩补充道。
这位高管指出,指望普通用户区分恶意dApp、空投或Mint页面是不现实的。现代欺诈平台往往与合法平台高度相似,几乎难以区分。
他还补充说,用户可能会反复点击钓鱼链接。他们这样做并非出于粗心大意,而是因为这些攻击是故意设计用来欺骗的。
即使是实时警告有时也可能是误报,这凸显了这些骗局的复杂程度。
科恩建议:“不应该指望用户进行取证检查。这项责任必须转移到能够实时分析意图和行为的工具上。”
报告还指出,这些攻击往往利用用户最难以评估威胁的时刻。例如,有人可能在工作时分心查看钱包,对声称账户将被冻结的紧急消息做出反应,或者在一天工作结束后疲惫不堪时批准交易。
研究结果表明,业界的应对措施主要是增加警告和验证步骤。但这种做法往往会适得其反,导致用户产生“安全疲劳”。随着用户逐渐习惯于不断收到警报——其中许多是误报,只会拖慢他们的速度——在持续的认知压力下,他们做出谨慎决策的能力会下降。
用户可采取的 3 项措施,以确保在 Web3 环境中更安全
为了减少实际损失,卡茨提出了用户可以采取的三种做法。他建议用户:
- 签名前请三思:大多数安全漏洞都发生在十秒钟之内。即使只是花一小会儿时间阅读提示信息或确认请求是否符合预期操作,也能有效阻止大部分攻击。
- 将高价值资产与日常活动分开:使用多个钱包仍然是最有效的安全措施之一。他建议用户将长期持有的资产放在冷钱包或低接触钱包中,并使用单独的钱包进行探索、增值和使用去中心化应用(dApp)。这种隔离方式可以最大限度地减少潜在损失。
- 依靠实时交易保护:由于许多威胁涉及社会工程而非技术漏洞,用户可以利用能够在链上操作最终完成之前对其进行解读的工具。这一层防御就能阻止许多更高级的诈骗手段。
他强调,其目的不是将用户变成安全专家,而是建立防护措施,防止错误造成经济损失。
