Web3 安全公司 Kerberus 最近的一份报告显示,人类行为现在是 Web3风险的主要原因。
BeInCrypto 采访了该公司首席执行官 Alex Katz 和首席技术官 Danor Cohen,以了解用户为何持续遭受攻击以及他们可以采取哪些措施来更好地保护自己。
Kerberus报告称,人为错误导致Web3领域损失巨大
Kerberus 在其最新报告《人为因素——实时保护是 Web3 被遗忘的安全层(2025)》中指出,以人为中心的攻击是 Web3 中最危险的攻击类型。
报告援引数据显示,行业损失很大一部分源于用户操作失误。2024年,约44%的加密货币盗窃案是由于私钥管理不当造成的。另一项研究发现,人为错误约占安全漏洞的60%。
预计到2025年,活跃钱包数量将达到8.2亿,威胁背景正在迅速扩展,每个人都面临风险。Katz告诉BeInCrypto,不法分子既针对新手也针对老手,但动机却截然不同。
他说:“新用户之所以被吸引,是因为他们还不了解 Web3 上的正常行为是什么。”
值得注意的是,这位高管指出,老用户正日益成为比新用户更有价值的目标群体。据他所说,
“资深用户使用更多去中心化应用(dApp),签署更多交易,转移更大资金量。这意味着一时的疏忽就可能造成更大的损失。因此,目前最风险的群体是那些认为自己不会风险。”
科恩补充说,关于Web3最大的误解之一是认为安全漏洞源于用户不了解这项技术。他的分析表明事实恰恰相反。人们之所以会遭受黑客攻击,是因为系统给用户施加了不切实际的负担。
“用户会想,‘我这么聪明,不会被黑客攻击,我知道钱包的工作原理——我很安全。’但威胁背景的变化速度远超用户的反应速度。黑客的目标不是超越你的钱包,而是超越你。而且他们在这方面非常擅长。人们误解的是,Web3 给用户带来了巨大的智力负担。用户不应该为了安全而费力解读技术信号——安全应该自动运行,”他说道。
为什么即使是精明的 Web3 用户到 2025 年仍然会赔钱?
尽管2025年安全支出达到创纪录水平,但这些人为风险依然存在。Kerberus的报告指出, 今年上半年,加密货币相关服务和投资者因黑客攻击和诈骗损失超过31亿镁。这已经超过了2024年全年的损失总额。
该数字包含了历史的Bybit泄露事件。即使不计入此次事件,诸如钓鱼和社会仿盘等针对人为攻击造成的损失仍然高达6亿镁,占剩余16.4亿镁损失的37%。
报告指出,随着用户数量的上涨,这些攻击上涨,并且完全超越了技术安全系统,因此很难用传统的安全模型来预防。
尽管企业在审计、监控和代码测试方面投入巨资,但攻击者却越来越多地直接在交易层面挖矿用户。那么,究竟是什么使人类容易受到这些攻击呢?
科恩详细解释道:“人类之所以容易上当受骗,是因为每一种骗局都旨在挖矿人们天然的情绪捷径——紧迫感、权力欲、熟悉感、害怕错失良机,或是习惯带来的舒适感。这些并非弱点,而是帮助我们应对日常生活的本能。科技无法改变人类的情绪,但它可以抓住情绪被武器化的时机。”
他点击,最有效的保护措施不是依靠用户通过教育来避免犯错,而是在造成损害之前及时阻止有害行为。
“这就是为什么实时检测如此重要。如果你能在用户信任被滥用的瞬间就发出警报,就能在大部分损失发生之前就将其扼杀在萌芽状态,”科恩补充道。
首席执行官点击,指望普通用户能够区分恶意去中心化应用(dApp)、空投或伪造网站是不现实的。如今的仿盘平台往往与合法平台看起来一模一样,几乎难以区分。
他还补充说,用户可能会次点击钓鱼链接。他们这样做并非出于粗心大意,而是因为这些攻击旨在欺骗用户。
即使是实时警报有时也可能显示为误报,这凸显了这些骗局的复杂性。
科恩建议:“不应该强迫用户进行详细的筛选。这项负担应该转移到实时意图和行为分析上。”
报告还指出,这些攻击挖矿用户无法评估风险的时刻。例如,有人在工作时分心查看钱包、回复账户即将被冻结的紧急消息,或者在一天工作结束后疲惫不堪时批准交易。
调查结果显示,业界的应对措施主要是增加警告和验证步骤。但这种做法往往会适得其反,因为用户会感到“安全疲劳”。随着用户逐渐习惯接收不断的警报——其中很多都是误报,反而会降低他们的效率——他们在持续的压力下做出谨慎决策的能力下降。
用户可以采取 3 项措施来提高 Web3 的安全性
为了下降实际损失,卡茨提出了用户可以采取的三种做法。他建议用户:
- 签名前请三思:大多数攻击发生在不到十秒的时间内。花点时间仔细阅读请求或确认请求与预期操作相符,可以有效防止大多数攻击。
- 将高价值资产与日常活动分开:使用多个钱包仍然是最有效的保护方式之一。他建议用户将长期投资存放在冷钱包或不常用的钱包中,并使用单独的钱包进行探索、代币铸造和去中心化应用(dApp)的使用。这种Chia有助于限制潜在损失。
- 依靠实时交易保护:由于许多威胁涉及社会工程而非技术挖矿,用户可以利用在链上操作完成前对其进行解释的工具。这一层防御措施可以阻止更复杂的诈骗。
他点击,其目的不是将用户变成安全专家,而是建立屏障,防止错误造成经济损失。
