“想证明你就是你本人,现在越来越难了。”Phemex 首席执行官 Federico Variola 的这番话,道出了整个加密行业日益突出的一个隐忧——而这个问题远不止是智能合约或底层技术漏洞那么简单。
在最近一次圆桌讨论中,Federico Variola 与 Ledger 首席体验官 Ian Rogers 及网络安全公司 Hacken 联合创始人兼首席执行官 Dmitry Budorin 共同探讨了加密行业面临的安全威胁。Variola 指出,人工智能正在不断改变攻击工具,但安全链条上的最大弱点依然在于人本身——比如沟通方式、决策速度以及信任判断。
这些风险在很大程度上与日常操作习惯有关。对交易所与钱包而言,共识在于用户行为往往决定了安全事故的发生路径。Federico Variola 认为,这直接影响着交易所流程的设计——如何设置安全阻断、管理用户与钱包、社交平台以及链上身份之间的交互方式。
讨论伊始,Federico 回应了行业普遍关心的一个问题:加密行业的安全状况是在变差,还是攻击者的手段在不断升级?
“可以说,今年可能是网络犯罪史上最严重的一年,到了明年,形势恐怕还会继续恶化。这并不是因为我们的安全措施变差了,而是整个行业的价值提升了。当蛋糕变大,觊觎蛋糕的人也会越来越多。”
随着加密市场不断扩张,对于攻击者而言,动力也同步增强。Variola 指出,这导致攻防始终处于动态失衡之中,尤其在牛市期间,攻击能力往往领先于安全防护的升级速度。
“我们现在大概处于这样一个时期——攻击手段的增长速度快于安全防御。每逢牛市,总有人会用貌似合理的理由,劝你在安全措施或自托管等环节‘走捷径’,但最终无一不是‘血的教训’。”
Rogers 也用一个简单的案例加以补充。即便是深度参与钱包开发的行业老兵,也曾因 Discord 或浏览器钱包中的钓鱼链接而中招。他强调,即使经验丰富,也绝不能放松警惕。
Variola 指出,当前最大的变化体现在攻击手法的演变上。
“这些攻击者往往资金充足,有时还涉及国家级背景,行动速度极快,难以招架。同时,AI 和自动化已成双刃剑。我们在用的工具,攻击者同样可以用。各种社交工程攻击愈发复杂。就连我的肖像都被人‘深度造假’,在视频通话中试图欺骗投资人或合作伙伴。”
Ian Rogers 从硬件钱包的角度补充称,如今许多攻击更多依赖心理操控而非技术突破。Variola 也表示,这正是各大交易所在实践中遇到的现实:说服用户远比攻破系统本身容易得多。
Rogers 在圆桌中总结:“其实任何人都有可能被骗。”哪怕是资深的加密原生团队,面对熟悉、紧迫,以及高度定制化的社交工程攻势时,也可能被绕过原本严密的安全流程,酿成损失。
从交易所的角度来看,Federico 明确区分了平台的保障与假设。
“我们对用户的核心承诺,必须做到绝对不可触及,也就是冷钱包。这一点毫无商量余地。而热钱包,本身因为始终在线,天然存在一定风险。”
在行情剧烈波动、市场活跃度大幅提升时,这些风险会进一步加剧。
“牛市期间,用户普遍希望热钱包保持充足流动性。他们频繁进行大额资金转移,尤其是在各类山寨币中。用户在这方面的需求非常迫切。”
高压之下,平台面临不小挑战。用户追求速度及便捷,但要保障安全,往往意味着必须增加操作流程的复杂性。
“为了保护用户资产,不论外界期望如何,都必须人为增加一些流程和门槛。从某种程度上来说,平台不得不适当‘对抗’用户的部分诉求。”
对于交易所来说,这是一个颇为尴尬的现实,但在 Federico 看来,如果平台真正在意长期安全,而不仅仅追求短期用户满意,这种取舍是无可回避的。
圆桌讨论期间,Variola 简要提及了 Phemex 去年遭遇的一起安全事件。
“对我们而言,最深刻的教训之一就是,实际上我们比想象中更容易成为攻击目标。”
而这其中,最关键的经验教训源于团队成员本身。
“我们低估了钓鱼和社会工程攻击的渗透性——它们会首先盯上结构中的基层人员,比如实习生、设计师,那些原本并不认为安全与自己相关的岗位,之后才逐步渗透到关键岗位。”
Dmitry Budorin 用一个直观的比喻阐释了这类攻击的方式,他指出钓鱼攻击就像真正的钓鱼——即使鱼儿并不傻到上塑料假饵,但一旦放松警惕、分神或麻痹大意,攻击者便很容易得逞。用他的话说,这种“不可避免性”才是最大风险。
这种思维也正是 Variola 在安全理念上的核心。
“仅仅让工程师或高管保持警觉并不够。每一位成员都必须充分了解自己所面临的风险,即使是最基层的实习生,也要时刻保持警惕。”
Budorin 进一步补充称,很多情况下,黑客的直接目标甚至并非基层员工,而是 CEO 等企业高层。对于在行业内具备高度影响力和曝光度的创始人及高管,攻击者往往会选择直接“下手”。
此事件发生后,Phemex 在各项安全措施上全面加码,最大变化却体现在内部团队的安全意识层面。
“加密行业高度社交化。NFT、社交媒体、Telegram——这些平台都成了攻击者的目标。”
Federico Variola 对行业中用户在安全性本就堪忧的环境中,随意进行敏感交流的现象提出了尖锐批评。
“尤其是 Telegram,从安全性角度来看,它是运营最差的主流平台之一,但却成为行业内的沟通标准。”
他还对钱包追踪及公开归属等新兴趋势表示担忧。
“我并不喜欢把钱包追踪到个人的做法。这种趋势很反加密精神。但事实是,你在这个行业越成功,面临的风险和攻击就越大,你在自我保护上需要投入更多资源。”
展望未来,Variola 认为,去中心化与自托管将深刻重塑加密安全体系。
“随着去中心化逐渐成为常态,我们正在把安全负担分散到更多节点。黑客不得不一个个针对个人,而不是瞄准单一薄弱点。”
但这并不意味着风险消失——只是风险分布发生了转移。
“DEX 与去中心化平台也带来了全新难题。代码即法律,你无法暂停链的运行,将会面临全新的风险。但总体来看,我认为这对行业而言是利好。”
对于中心化交易平台而言,这意味着要主动适应,而不是消极应对。
“中心化平台不会消失,但我们必须进化。安全模型需要随着用户行为一同迭代更新。”
对于未来的安全挑战,Federico Variola 并不认为加密行业能够“彻底解决”后就高枕无忧。
“AI 将成为最大的挑战。”他表示,“再往后看,量子计算也会带来新的风险层。”
当被问及 AI 是否同样能帮助防御一方时,他的回答颇为直接:“很遗憾,我认为,AI 提升攻击者能力的效果,要超过对用户安全的促进作用。”
在 Variola 看来,如今正是加密行业走向成熟的关键阶段。加密领域吸引了大量技术人才,而安全逐渐成为企业日常运营与沟通的重要组成部分。在这个以“去信任化”为目标的系统中,行业的注意力开始聚焦于:信任依然存在哪些环节,如何科学管理这些信任。
