Web3 安全公司 Kerberus 最近的一份報告表明,人類行為現在是 Web3 的主要風險。
BeInCrypto採訪了該公司的首席執行官 Alex Katz 和首席技術官 Danor Cohen,以瞭解用戶為何持續遭受攻擊以及他們可以採取哪些措施來更好地保護自己。
Kerberus報告顯示,人為錯誤是造成Web3重大損失的主要原因。
Kerberus 在其最新報告《人為因素——實時保護是 Web3 網絡安全中被忽視的一層(2025)》中指出,以人為中心的攻擊是 Web3 中最具結構性危險的攻擊途徑。
該報告援引數據顯示,行業損失的很大一部分源於用戶操作失誤。2024年,約44%的加密貨幣盜竊案是由於私鑰管理不善造成的。另一項研究表明,約60%的安全漏洞都與人為錯誤有關。
預計到2025年,活躍錢包數量將達到8.2億,威脅形勢正在迅速擴大,每個人都面臨風險。Katz告訴BeInCrypto ,不法分子既針對新手用戶,也針對經驗豐富的用戶,但其動機卻截然不同。
他說:“新用戶之所以吸引人,是因為他們還不瞭解‘正常’的Web3行為是什麼樣的。”
有趣的是,這位高管指出,與新用戶相比,老用戶正成為越來越有價值的目標客戶。據他所說,
“資深用戶使用的去中心化應用(dApp)更多,簽署的交易更多,交易金額也更大。這意味著哪怕一時的疏忽都可能造成更大的損失。因此,如今風險最大的群體是那些認為自己沒有風險的人。”
科恩補充說,Web3領域最大的誤解之一是認為安全漏洞源於用戶不瞭解這項技術。他的分析恰恰相反。人們之所以會遭受黑客攻擊,是因為系統給他們施加了不切實際的負擔。
“用戶會想,‘我這麼聰明,不會被騙,我知道錢包的工作原理——我很安全。’但威脅形勢的變化速度遠超用戶的反應速度。攻擊者並非試圖破解你的錢包,而是試圖智勝你。而且他們在這方面非常擅長。人們誤解的是,Web3 給用戶帶來了巨大的認知負擔。用戶不應該為了安全而費力解讀技術信號——安全必須自動運行,”他說道。
為什麼即使是精明的 Web3 用戶在 2025 年仍然會感到資源耗盡?
儘管2025年安全領域的支出創下歷史新高,但人為風險依然存在。Kerberus的報告指出,今年上半年,加密貨幣相關服務和投資者因黑客攻擊和詐騙損失超過31億美元。這已經超過了2024年全年的損失總額。
這個數字包含了歷史上著名的Bybit洩露事件。即使不計入此次事件,諸如網絡釣魚和社會工程等針對人為攻擊造成的損失仍然高達6億美元,佔剩餘16.4億美元損失的37%。
報告指出,隨著用戶數量的增長,這些攻擊規模也隨之擴大,並且完全繞過了技術防禦。這使得傳統的安全模型難以阻止它們。
儘管企業在審計、監控和代碼審查方面投入巨資,但攻擊者卻越來越多地直接在交易層面攻擊用戶。究竟是什麼讓 人類如此容易受到這些攻擊?
科恩詳細解釋道:“人類之所以容易上當受騙,是因為每一種騙局都旨在利用人們天然的心理捷徑——緊迫感、權威感、熟悉感、害怕錯失良機或習慣於常規。這些並非缺陷;它們正是我們日常生活中賴以生存的本能。科技本身無法改變人類心理,但它可以捕捉到心理被武器化的瞬間。”
他強調,最有效的保護措施不是僅僅依靠教育讓用戶避免犯錯,而是在造成損害之前實時阻止有害行為。
“這就是為什麼實時檢測如此重要。如果你能在用戶信任被操縱的瞬間發出警告,就能在大多數損失發生之前阻止它們,”科恩補充道。
這位高管指出,指望普通用戶區分惡意dApp、空投或Mint頁面是不現實的。現代欺詐平臺往往與合法平臺高度相似,幾乎難以區分。
他還補充說,用戶可能會反覆點擊釣魚鏈接。他們這樣做並非出於粗心大意,而是因為這些攻擊是故意設計用來欺騙的。
即使是實時警告有時也可能是誤報,這凸顯了這些騙局的複雜程度。
科恩建議:“不應該指望用戶進行取證檢查。這項責任必須轉移到能夠實時分析意圖和行為的工具上。”
報告還指出,這些攻擊往往利用用戶最難以評估威脅的時刻。例如,有人可能在工作時分心查看錢包,對聲稱賬戶將被凍結的緊急消息做出反應,或者在一天工作結束後疲憊不堪時批准交易。
研究結果表明,業界的應對措施主要是增加警告和驗證步驟。但這種做法往往會適得其反,導致用戶產生“安全疲勞”。隨著用戶逐漸習慣於不斷收到警報——其中許多是誤報,只會拖慢他們的速度——在持續的認知壓力下,他們做出謹慎決策的能力會下降。
用戶可採取的 3 項措施,以確保在 Web3 環境中更安全
為了減少實際損失,卡茨提出了用戶可以採取的三種做法。他建議用戶:
- 簽名前請三思:大多數安全漏洞都發生在十秒鐘之內。即使只是花一小會兒時間閱讀提示信息或確認請求是否符合預期操作,也能有效阻止大部分攻擊。
- 將高價值資產與日常活動分開:使用多個錢包仍然是最有效的安全措施之一。他建議用戶將長期持有的資產放在冷錢包或低接觸錢包中,並使用單獨的錢包進行探索、增值和使用去中心化應用(dApp)。這種隔離方式可以最大限度地減少潛在損失。
- 依靠實時交易保護:由於許多威脅涉及社會工程而非技術漏洞,用戶可以利用能夠在鏈上操作最終完成之前對其進行解讀的工具。這一層防禦就能阻止許多更高級的詐騙手段。
他強調,其目的不是將用戶變成安全專家,而是建立防護措施,防止錯誤造成經濟損失。
