网络钓鱼成第一季度Web3损失主因致4.64亿美元

哈肯2026年第一季度安全概览统计显示，43起Web3安全事件累计造成4.645亿美元损失，凸显了攻击目标与损失累积方式的变化。报告指出，钓鱼攻击和社会工程活动是本季度主要威胁，共计导致3.06亿美元损失。另一起破坏性极大的事件——1月发生的2.82亿美元硬件钱包骗局——占据了本季度总损失的81%。智能合约漏洞利用造成的损失达8620万美元，而访问控制失效（包括密钥泄露和云服务入侵）则导致7190万美元损失。本季度是自2023年以来损失第二低的第一季度，部分原因是未出现类似Bybit级别的大型黑客事件。

哈肯的分析强调，漏洞记录正从单纯的链上代码问题转向根植于运营和基础设施的故障。报告指出，最严重的损失源于配置错误、凭证泄露和第三方集成薄弱等问题，而非仅来自存在缺陷的智能合约。这与行业普遍观点一致：强有力的安全方案必须涵盖人员、流程和技术，并与代码审计并行。

哈肯首席执行官兼联合创始人叶夫·布罗舍万在访谈中强调了这一趋势：最具破坏性的事件往往完全发生在代码层之外。他解释说，传统代码审计常忽略运营和基础设施层的现实弱点。

报告指出，即使在行业应对现代攻击手段之际，多起高损失事件仍源于遗留部署或已知漏洞模式。例如，Truebit因一个约五年前部署的Solidity合约漏洞损失2640万美元；Venus协议遭遇利用长期存在的合约治理模式的捐赠式攻击。此外，Step Finance因涉及朝鲜的黑客组织通过虚假风投接触遭受4000万美元损失，显示了社会工程攻击的持续危害。

与此同时，Resolv Labs的AWS密钥管理服务遭入侵，表明即使代码本身无缺陷，访问控制失效仍可导致重大损失。哈肯的事件映射还揭示了攻击者在2025年使用的典型手法——虚假风投接触、恶意视频通话工具和终端入侵——这些手法当年共造成约20.4亿美元损失。

六项经过审计的项目仍造成3770万美元损失，这引发了实际疑问：审计的严格程度或频率能否真正降低风险？哈肯指出，这些受审计协议通常拥有较高的总锁仓价值，这意味着对攻击者而言更具吸引力。换言之，仅靠审计可能无法解决高总锁仓价值项目面临的复杂多层风险，这凸显了持续安全监控与分层防御的必要性。

本季度的监管背景进一步表明，安全正成为市场与合规议题。欧盟的《加密资产市场法规》和《数字运营韧性法案》正进入深入实施阶段，各地区监管机构不断提高对持续安全实践的要求。迪拜虚拟资产监管局已收紧其技术与信息规则手册，新加坡则实施了与巴塞尔标准对齐的资本要求及快速事件通报时限。阿联酋新成立的资本市场管理局加强了数字资产监管并提高了处罚力度。哈肯将这些进展视为对运营商的号召，要求其展示持续的安全就绪状态，而非仅通过一次性审计。

哈肯提倡构建“合规就绪”安全架构的具体框架，包括：每日内部对账支撑的资金储备证明；对财库钱包和特权角色的全天候链上监控；针对铸造和治理行为的自动断路机制；以及依据最严格标准设定的事件通报时限。

报告反复强调人为因素：朝鲜黑客组织被认定为2026年第一季度最持续的运营威胁。社会工程活动、虚假专业接触和员工终端入侵相结合，持续造成重大损失。Step Finance事件及与Bitrefill相关的基础设施入侵，揭示了攻击者将社会操纵与技术利用结合以获取价值的普遍模式，且常以高价值协议为目标。

对投资者、开发者和运营商而言，核心结论很明确：即便部署成功且智能合约坚固，薄弱的运营实践、密钥管理不善或事件响应准备不足仍可导致系统崩溃。不断演变的威胁形势要求采取多层安全方法、持续监控以及明确的快速遏制计划——这也正是监管机构当前推动的必备标准。对建设者而言，这意味着从第一天起就将安全融入产品设计，并保持持续测试、尽职调查和韧性建设的文化。

观察者将关注2026年第二季度是否会延续第一季度基础设施和运营风险为主的趋势，以及新的防御措施和政策手段能否缩小安全差距。代码质量、运营规范与监管合规之间的平衡，将决定生态系统能否快速形成抵御复杂攻击和严格监管的韧性能力。