根据一家Web3安全公司Kerberus的最新报告,人类行为现在成为Web3领域的主要风险。
BeInCrypto采访了该公司的首席执行官Alex Katz和首席技术官Danor Cohen,探讨用户为何持续成为攻击的目标,以及如何更好地保护自己。
人类失误致 Web3 巨额损失 Kerberus 报告指出Kerberus在最新报告《人类因素——实时保护是Web3网络安全的无名层(2025)》中指出,人类为重点的攻击是Web3中结构上最危险的威胁向量。
报告引用的数据表明,行业损失的很大一部分源于用户失误。2024年大约44%的加密货币盗窃案件是由于私钥管理不当造成的。另有研究显示,大约60%的安全漏洞涉及人为错误。
截至2025年,活跃钱包数达到8.2亿,威胁态势正在迅速扩大,每个人都面临风险。Katz告诉BeInCrypto,恶意行为者攻击的对象既有新手,也有经验丰富的用户,但原因截然不同。
“新手是有吸引力的,因为他们还不了解‘正常’的Web3行为是什么样的,”他说。
有趣的是,这位高管指出,与新手相比,长期用户越来越成为高价值目标。据他所说,
“老用户与更多的dApps互动,签署更多交易,转移更大金额。这意味着一时的疏忽可能带来更大损失。所以目前最容易受到威胁的群体是那些以为自己不在风险中的人。”
Cohen补充说,Web3中的一大误区是安全失败源于用户不理解技术。他的分析指向相反的方向。人们遭到黑客攻击,因为系统对用户施加了不切实际的负担。
2025 年智能 Web3 用户为何频遭损失“用户认为,‘我太聪明了,不会被骗,我了解钱包的运作方式——我很安全。’但威胁环境变化比用户快。攻击者不是在尝试智胜你的钱包;他们是在尝试智胜你。而他们真的很擅长。人们误解的是,Web3对个人施加了巨大的认知负担。用户不应该需要解读技术信号来保持安全——安全性必须自动为他们服务,”他提到。
尽管2025年在安全上的支出创下纪录,这些人类驱动的风险依然存在。Kerberus的报告指出,与加密相关的服务和投资者在今年上半年因黑客攻击和诈骗损失超31亿美元。这已经超过了2024年全年的总额。
这一数字包括Bybit 历史性漏洞。但即便不计此事,以网络钓鱼和社会工程为主的人为攻击仍占据了 6 亿美元。这相当于余下 16.4 亿美元损失中的 37%。
报告指出,这些攻击随着采用率的增长而增加,并完全绕过了技术防御。这使得传统的安全模式难以防范此类威胁。
尽管企业在审计、监控和代码审查方面投入大量资金,攻击者却越来越多地在交易层面对用户下手。那么,究竟是什么让人如此容易成为攻击目标?
“人之所以容易受骗,是因为每个骗局都是利用心理的自然捷径设计的——紧迫感、权威性、熟悉感、错失恐惧症,或者对日常的依赖。这些并非缺陷,而是让我们在日常生活中正常运作的本能。技术无法改变人类心理,但可以在心理被利用的瞬间捕捉到。”Cohen 详细解释道。
他强调,最强大的保护形式不是仅依靠用户通过教育避免错误,而是实时阻止有害行为在造成损害之前发生。
“这就是为什么实时检测非常重要。如果你能在用户信任被操控的确切时刻发出警告,你就可以在大多数损失发生之前制止它们。”Cohen 补充道。
这位高管指出,要求普通用户分辨恶意 dApp、空投或生成页面是不切实际的。现代诈骗平台常常与合法平台非常相似,几乎无法区分。
他补充说,用户会反复点击钓鱼链接。他们并非因为粗心而这么做,而是因为这些攻击是故意设计来欺骗的。
即使是实时警告有时也可能被视为误报,这突显了这些骗局的高级性质。
“不应该期望用户进行取证检查。责任应转移到能实时分析意图和行为的工具上。”Cohen 建议道。
报告还指出,这些攻击利用了用户最无法评估威胁的时刻。这可能发生在有人分心时查看他们的钱包、对声称账户将被冻结的紧急消息作出反应,或在忙碌一天后疲惫地批准一笔交易。
根据调查结果,该行业的大多数应对措施是增加更多警告和验证步骤。但这种方法常因“安全疲劳”而适得其反。当用户习惯于持续不断的警报(其中许多是减慢用户操作的误报)时,他们在持续的认知压力下做出谨慎决策的能力就会减弱。
Web3 用户安全措施 3 项为了减少实际损失,Katz 建议用户采取三项措施。他建议用户:
- 签名前请稍作停顿:大多数安全妥协在十秒内发生。即便是短暂停留确认请求是否符合预期操作,也能阻止大部分成功的攻击。
- 将高价值资产与日常活动分开:使用多个钱包仍是最有效的保护措施之一。建议用户将长期持有的资产存储在冷钱包或低频使用的钱包中,并使用单独的钱包进行探索、铸造和去中心化应用(dApps)。这种隔离能够限制潜在的损害。
- 依靠实时交易保护:由于许多威胁涉及社会工程而非技术漏洞,用户可以从解读链上动作的工具中受益,这些工具在动作最终确定前进行解释。这种单一的防御层能够阻止许多更高级的骗局。
他强调,其目的不是让用户成为安全专家,而是建立防护栏,防止错误转化为经济损失。
