1月加密欺诈案损失达3.7亿美元,创近11个月新高 | 加密百科深度分析
加密百科独家解读
这件事简单来说,就是骗子们现在不主要去“撬锁”(攻击复杂的智能合约代码)了,而是开始“伪造钥匙和门”(模仿官方界面,骗你亲手交出资产)。一月份整个行业损失了接近3.7亿美元,创了近一年的纪录,其中绝大部分都是这类“骗术”的功劳。
给你拆解一下核心套路和背后的变化:
1. 骗术升级:从“技术黑客”到“心理黑客”
以前大家最怕的是协议有漏洞,钱被黑客用技术手段盗走。但现在,像Uniswap这样的顶级协议本身已经相当坚固。于是,骗子改变了战场。他们花钱在搜索引擎上买广告,让自己的假网站排在真网站前面。这些假网站做得和真的一模一样,普通人根本分不清。当你放心地连接钱包、进行“授权”签名时,其实就等于亲手把资产的操控权交给了骗子,钱瞬间就被转走。这完全依赖你的“操作”,协议本身没有任何问题。
2. 为什么损失额飙升?
攻击门槛降低:复制一个网站界面,比发现一个顶级DeFi协议的漏洞要容易得多。这吸引了更多非技术型的骗子入场。
针对高价值目标:这种“钓鱼”攻击往往针对的是那些拥有大量资产、对主流DeFi平台有信任感的资深用户。一旦有人上钩,单笔损失就非常巨大(比如新闻中提到的数十万美元)。
生态扩张的副作用:DeFi和主流加密应用越普及,知名品牌的“仿冒价值”就越高。骗子利用的就是用户对Uniswap等名字的条件反射般的信任。
3. 安全防线已经转移
这给我们敲响了最响的警钟:个人操作安全,已经成为比智能合约安全更薄弱的环节。 安全公司的数据清晰地表明,损失的大头(2.84亿美元来自单一社会工程学攻击)来自于对人的欺骗,而不是对代码的攻击。
给你的核心行动指南:
永远把“手动输入网址”或使用可靠的书签作为铁律。不要点击任何搜索引擎的广告链接,也不要点击社交媒体、邮件里提供的链接来访问你的钱包或DeFi平台。
警惕每一次签名请求。连接钱包时,仔细核对网站域名是否为官方地址。在钱包(如MetaMask)弹出交易签名请求时,花几秒钟看看你究竟在授权什么,不要习惯性地点“确认”。
理解“授权”的含义:在区块链上,“授权”某个合约动用你的代币,和“转账”给某人同样危险。它给予对方在后续某个时间点转走你资产的权利。
认清现实:在当前的加密世界,最大的风险往往不在区块链的底层,而在你与屏幕之间。骗子正盯着你的习惯和疏忽。随着比特币减半和以太坊坎昆升级这些底层技术优化已成为过去,整个生态的成熟也意味着攻击重点全面转向了终端用户。
背景资料 (原快讯)
Uniswap 创始人 Hayden Adams 警告称,冒充 Uniswap 的搜索引擎广告持续出现,已有用户因此损失全部高价值加密资产。诈骗者通过购买 “Uniswap ”等关键词广告,将伪造网站置顶展示,页面设计与官方高度相似,一旦用户连接钱包并授权交易,资金即可被立即转走。该类攻击依赖用户签名授权,而非协议层漏洞。
一名 X 平台用户 “Ika ”表示,在点击搜索结果中的假冒链接后,损失了价值数十万美元的加密钱包资产。其披露截图显示,伪造链接位于搜索结果顶部,具有较强迷惑性。类似事件在 2024 年 10 月亦曾发生,诈骗者曾复制 Uniswap 网站界面并通过细微按钮改动诱导用户连接钱包。
安全公司 CertiK 数据显示,2026 年 1 月加密行业因漏洞利用与诈骗共损失约 3.703 亿美元,为近 11 个月新高,约为 2025 年 1 月的近四倍。其中单一社会工程学攻击案件损失约 2.84 亿美元。1 月共记录 40 起相关安全事件。
分析指出,当前加密资产损失更多源于钓鱼链接、虚假广告及社会工程攻击等用户层面风险,而非底层智能合约漏洞。随着 DeFi 生态扩张,品牌仿冒与界面欺诈正在成为影响用户信任的重要隐患。
注:以上背景资料自公开行业资讯,加密百科网仅作科普解读。