Web3 安全公司 Kerberus 最近的一份報告顯示,人類行為現在是 Web3風險的主要原因。
BeInCrypto 採訪了該公司首席執行官 Alex Katz 和首席技術官 Danor Cohen,以瞭解用戶為何持續遭受攻擊以及他們可以採取哪些措施來更好地保護自己。
Kerberus報告稱,人為錯誤導致Web3領域損失巨大
Kerberus 在其最新報告《人為因素——實時保護是 Web3 被遺忘的安全層(2025)》中指出,以人為中心的攻擊是 Web3 中最危險的攻擊類型。
報告援引數據顯示,行業損失很大一部分源於用戶操作失誤。2024年,約44%的加密貨幣盜竊案是由於私鑰管理不當造成的。另一項研究發現,人為錯誤約佔安全漏洞的60%。
預計到2025年,活躍錢包數量將達到8.2億,威脅背景正在迅速擴展,每個人都面臨風險。Katz告訴BeInCrypto,不法分子既針對新手也針對老手,但動機卻截然不同。
他說:“新用戶之所以被吸引,是因為他們還不瞭解 Web3 上的正常行為是什麼。”
值得注意的是,這位高管指出,老用戶正日益成為比新用戶更有價值的目標群體。據他所說,
“資深用戶使用更多去中心化應用(dApp),簽署更多交易,轉移更大資金量。這意味著一時的疏忽就可能造成更大的損失。因此,目前最風險的群體是那些認為自己不會風險。”
科恩補充說,關於Web3最大的誤解之一是認為安全漏洞源於用戶不瞭解這項技術。他的分析表明事實恰恰相反。人們之所以會遭受黑客攻擊,是因為系統給用戶施加了不切實際的負擔。
“用戶會想,‘我這麼聰明,不會被黑客攻擊,我知道錢包的工作原理——我很安全。’但威脅背景的變化速度遠超用戶的反應速度。黑客的目標不是超越你的錢包,而是超越你。而且他們在這方面非常擅長。人們誤解的是,Web3 給用戶帶來了巨大的智力負擔。用戶不應該為了安全而費力解讀技術信號——安全應該自動運行,”他說道。
為什麼即使是精明的 Web3 用戶到 2025 年仍然會賠錢?
儘管2025年安全支出達到創紀錄水平,但這些人為風險依然存在。Kerberus的報告指出, 今年上半年,加密貨幣相關服務和投資者因黑客攻擊和詐騙損失超過31億鎂。這已經超過了2024年全年的損失總額。
該數字包含了歷史的Bybit洩露事件。即使不計入此次事件,諸如釣魚和社會仿盤等針對人為攻擊造成的損失仍然高達6億鎂,佔剩餘16.4億鎂損失的37%。
報告指出,隨著用戶數量的上漲,這些攻擊上漲,並且完全超越了技術安全系統,因此很難用傳統的安全模型來預防。
儘管企業在審計、監控和代碼測試方面投入巨資,但攻擊者卻越來越多地直接在交易層面挖礦用戶。那麼,究竟是什麼使人類容易受到這些攻擊呢?
科恩詳細解釋道:“人類之所以容易上當受騙,是因為每一種騙局都旨在挖礦人們天然的情緒捷徑——緊迫感、權力慾、熟悉感、害怕錯失良機,或是習慣帶來的舒適感。這些並非弱點,而是幫助我們應對日常生活的本能。科技無法改變人類的情緒,但它可以抓住情緒被武器化的時機。”
他點擊,最有效的保護措施不是依靠用戶通過教育來避免犯錯,而是在造成損害之前及時阻止有害行為。
“這就是為什麼實時檢測如此重要。如果你能在用戶信任被濫用的瞬間就發出警報,就能在大部分損失發生之前就將其扼殺在萌芽狀態,”科恩補充道。
首席執行官點擊,指望普通用戶能夠區分惡意去中心化應用(dApp)、空投或偽造網站是不現實的。如今的仿盤平臺往往與合法平臺看起來一模一樣,幾乎難以區分。
他還補充說,用戶可能會次點擊釣魚鏈接。他們這樣做並非出於粗心大意,而是因為這些攻擊旨在欺騙用戶。
即使是實時警報有時也可能顯示為誤報,這凸顯了這些騙局的複雜性。
科恩建議:“不應該強迫用戶進行詳細的篩選。這項負擔應該轉移到實時意圖和行為分析上。”
報告還指出,這些攻擊挖礦用戶無法評估風險的時刻。例如,有人在工作時分心查看錢包、回覆賬戶即將被凍結的緊急消息,或者在一天工作結束後疲憊不堪時批准交易。
調查結果顯示,業界的應對措施主要是增加警告和驗證步驟。但這種做法往往會適得其反,因為用戶會感到“安全疲勞”。隨著用戶逐漸習慣接收不斷的警報——其中很多都是誤報,反而會降低他們的效率——他們在持續的壓力下做出謹慎決策的能力下降。
用戶可以採取 3 項措施來提高 Web3 的安全性
為了下降實際損失,卡茨提出了用戶可以採取的三種做法。他建議用戶:
- 簽名前請三思:大多數攻擊發生在不到十秒的時間內。花點時間仔細閱讀請求或確認請求與預期操作相符,可以有效防止大多數攻擊。
- 將高價值資產與日常活動分開:使用多個錢包仍然是最有效的保護方式之一。他建議用戶將長期投資存放在冷錢包或不常用的錢包中,並使用單獨的錢包進行探索、代幣鑄造和去中心化應用(dApp)的使用。這種Chia有助於限制潛在損失。
- 依靠實時交易保護:由於許多威脅涉及社會工程而非技術挖礦,用戶可以利用在鏈上操作完成前對其進行解釋的工具。這一層防禦措施可以阻止更復雜的詐騙。
他點擊,其目的不是將用戶變成安全專家,而是建立屏障,防止錯誤造成經濟損失。
