今天早些时候,一个与巨鲸关联的多重签名钱包因私钥泄漏而被盗走约 2730 万美元,加密货币行业再次面临根深蒂固的安全漏洞。
据 PeckShield 称,攻击者已洗钱约 1260 万美元(约 4100 个ETH),并仍持有约 200 万美元的流动资产。这家安全公司显示,该洗钱者将大部分赃物透过 Tornado Cash 转移,Tornado Cash 是一种隐私混合器,常用于破坏交易连结。
2730万美元多重签名泄漏事件暴露持续存在的营运风险
这起事件源自于与巨鲸的多重签名钱包关联的私钥被盗,攻击者从中窃取了约 2,730 万美元。
尽管多重签名钱包被广泛视为机构级安全标准,但此次安全漏洞表明,营运方面的薄弱环节——而非智慧合约本身的缺陷——仍然是该生态系统中最危险的攻击途径之一。私钥管理不善、网路钓鱼和内部风险持续威胁著即使是复杂的托管结构。
加密货币损失逼近900亿美元,2025年攻击事件加速发生
经过15余年的安全努力,加密货币产业至今已因骇客攻击和漏洞而损失近900亿美元。根据Immunefi报道,近几个月来,窃盗事件的发生频率急剧上升。
光是11月份,就有超过2.76亿美元的加密货币被盗,使得2025年的总损失超过91亿美元。这意味著过去12个月内,加密货币历史上约10%的损失都发生了,凸显了网路威胁情势的快速恶化。
Immunefi执行长称「故意疏忽」助长了Web3骇客攻击
Immunefi 的创办人兼执行长 Mitchell Amador 表示,该行业最大的脆弱性不是技术复杂性,而是故意疏忽。 Immunefi 是一个众包安全平台,保护超过 1800 亿美元的数位资产。
阿马多尔表示:“加密货币正面临安全危机。随著生态系统规模的扩大,链上活动的激增与部署后安全预算的缩减以及攻击面的快速扩张形成了鲜明对比。”
Amador 指出,99% 的 Web3 专案在没有基本防火墙的情况下运行,而只有不到 10% 的专案部署了现代 AI 驱动的安全工具,这使得大多数协定在发布后都处于危险的暴露状态。
发布后漏洞将导致 2025 年大部分攻击事件发生
阿马多尔表示,今年大多数影响巨大的骇客攻击并非源自于审计错误。 “今年的大多数骇客攻击并非由于审计不力造成的,”他说,“它们发生在产品发布之后、协议升级期间或通过集成漏洞——这些都是仅靠审计无法发现的盲点。”
这种模式反映了攻击者行为的更广泛转变,他们的目标是营运过渡阶段,而不是初始阶段。
为什么即时生命周期安全必须取代仅审计模式
阿马多尔认为,业界必须放弃静态的、以审计为中心的安全方法,转而采用持续的、自动化的、生命周期安全方法。
他表示:“链上安全还不够成熟。它仍然依赖于人工审查和分散的系统,这使得组织无法即时调整其安全态势。”
阿马多尔解释说,虽然技术解决方案已经存在,但应用却落后了——这一差距导致数十亿美元的用户和机构资金持续流失。
随著加密货币逐渐成为主流金融,最近发生的 2700 万美元多重签名漏洞事件可能不再只是一起孤立事件,而更像是一个警告:如果安全文化没有根本性的转变,损失可能会持续增加,而行业防御能力的发展速度却跟不上。
