Web3黑客频发下行业亟需何种安全机制

关键要点

• 截至 2026 年 4 月，Web3 黑客攻击正在密集发生，仅 4 月就报告了 12 起事件。
• 社会工程在总损失中的占比逐年上升，在 2026 年第一季度已达到 74.7%。人与代码相比，是更容易被攻击的目标。
• 自 2020 年以来，被盗资金的平均追回率一直低于 10%。与传统金融不同，Web3 允许直接在链上盗取资产，因此一旦发生入侵，资金会立即流出。
• Bybit 遭受了 15 亿美元的黑客攻击，但在交易所协调和储备金支持下，仍然继续运营且投资者没有损失。DeFi 项目在资产离开协议后没有这样的选择。
• 反复发生的黑客攻击和低于 10% 的追回率，是阻挡机构入场的决定性障碍。Web3 需要的是结构和可问责的运营，而不是理念。

1. 黑客攻击持续发生

@hyperbridge 是一个连接 @Polkadot 和 @ethereum 的 bridge protocol，遭到利用攻击。

证明验证逻辑中的一个漏洞使攻击者能够通过伪造的跨链消息，导致在 Ethereum 上未经授权铸造了大约 10 亿枚 bridged DOT。已确认的用户损失为 250 万美元，分布在 Ethereum、Arbitrum、Base 和 BNB Chain 上。

在 Polkadot bridge 被攻击之前，DeFi protocol @DriftProtocol 遭受了 2.957 亿美元的安全漏洞。一个与朝鲜有关联的组织花了六个月与团队成员建立信任，然后夺取治理权限，这是一场高度精细化的社会工程攻击。Tether 随后提出了一项 1.275 亿美元的支持方案，但总计 1.475 亿美元的援助仍不足以弥补全部 2.957 亿美元的损失。

此后黑客攻击仍在继续。包括 Drift 之后较小的事件在内，仅 4 月就出现了 12 起案例。随着建立在可编程金融之上的行业中漏洞不断堆积，投资者和机构都在变得不安。

2. 黑客攻击瞄准的是人

Drift Protocol 的黑客攻击源于一名团队成员电脑被入侵。目标不是 smart contract 漏洞，也不是系统漏洞，而是一个人。

更大的问题在于，社会工程正在占据 Web3 黑客攻击中越来越大的份额。

社会工程在 2021 年占总黑客损失的 28.7%，到 2025 年上升至 64.3%，并在 2026 年第一季度达到 74.7%。针对人的攻击持续扩大，而代码级漏洞利用在同一时期的相对占比有所下降。

考虑到 blockchain 的开源特性，人们可能会预期代码级漏洞利用会占主导。实际上，社会工程已经成为更普遍的攻击向量。原因很简单：攻破一个拥有现有权限的人，比在代码中寻找漏洞更容易。

传统行业也呈现出同样的模式。2025 年，企业黑客攻击中有 70% 涉及社会工程。这套手法已经直接被带入 Web3。

然而，Web3 在一个关键方面有所不同。在传统金融中，成功的入侵很少会直接导致盗窃。账户冻结、转账撤销和机构干预都会发挥作用。在 Web3 中，protocol 资金可以直接在链上被抽走，一旦交易被确认，就没有办法撤销。

这就是 Web3 如此具有吸引力的目标的原因。

3. 追回率下降，不可逆的损失

DeFi protocol 黑客攻击每年都会造成数十亿美元的损失，但真正被归还的被盗资金占比却在持续下降。随着像朝鲜 Lazarus Group 这样的国家支持型操作者，以及通过 mixer 和跨链 bridge 进行的日益复杂的洗钱手段，追回工作变得越来越困难。

如果被盗资金能够被归还，那么至少还能维持一个最低限度的安全标准。但 DeFi 的追回率仍然停留在低位。

自 2020 年以来，年度平均追回率一直低于 10%。唯一的例外是 2021 年的 Poly Network 黑客事件，涉案金额 6.11 亿美元，攻击者自愿归还了全部金额，并使当年的数据大幅上升。若排除该事件，每一年都显示出较低的追回率。

4. 能存活下来的是拥有自主权的参与者

并不是每个 Web3 参与者在遭遇黑客攻击后都会崩溃。与往往在一次入侵后就分崩离析的 DeFi 项目不同，有些项目设法承受住了损失。

2025 年，Bybit 在遭受 15 亿美元黑客攻击后幸存下来。跨交易所协调以及足以覆盖损失的储备金发挥了决定性作用。并非所有被盗资金都被追回，但交易所仍继续运营且投资者没有损失，这才是关键点。交易所通常都会单独维持 SAFU 资金，以应对入侵和其他突发情况。

DeFi 项目没有这样的选择。交易一旦通过，protocol 资产就消失了，几乎没有应对空间。最现实的追回路径是与攻击者谈判，但攻击者几乎没有参与的动机。对于像 Lazarus 这样的国家支持型组织，谈判更是完全不可能。

传统金融会在入侵之后由机构介入。账户冻结、调查、保险和法律索赔会依次展开。Web3 没有任何能够撤销交易的权威机构。项目偶尔会请求链级干预以冻结资产，但冻结并不等于归还。

核心限制依然存在。Web3 中一旦出问题，就无法撤销。

5. 在机构时代说服机构

我们生活在机构时代。无论是否接受，机构都在推动市场的方向，而这一趋势不会逆转。

如果黑客攻击持续发生、项目不断崩溃，那么将没有东西可以提供给机构。机构对 blockchain 和 DeFi 的兴趣已经很高。资产管理中的运营效率、新的收益结构，以及 24/7 市场，都让这个领域具有吸引力。

但如果项目继续被黑客攻击并接连崩溃，这种吸引力就会消失。无论效率提升或收益结构多么诱人，底层资产都必须安全。低于 10% 的追回率，仍然是机构保持观望的最大原因之一。

一旦机构资本进入，市场规模将超越当前的比较。打开这扇门的不是技术优越性，而是值得信赖的响应框架。这个行业能否在捍卫去中心化的同时说服机构，将决定 Web3 是否能迈入下一阶段。

Web3 现在需要的不是理念，而是为失败而构建的结构，以及建立在问责之上的运营。

• 原文链接： x.com/tigerresearch/st...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～