披露
本文所表达的观点和看法仅代表作者本人,并不代表crypto.news编辑部的观点和看法。
Web3行业的安全现状
根据Hacken的2025年上半年安全报告,Web3行业在2025年上半年因黑客攻击、诈骗和漏洞损失超过31亿美元。其中,近6亿美元(几乎每五美元中就有一美元)是通过网络钓鱼和社交工程攻击被盗取的。问题并没有减缓。仅在2025年8月,网络钓鱼诈骗就从Web3用户那里窃取了超过1270万美元。
这些损失并不是通过复杂的漏洞实现的,而是通过简单的欺骗手段。虚假链接、伪造网站和恶意去中心化应用(dApps)继续超越用户的防御。尽管如此,行业仍然将注意力集中在其他地方。高调的协议黑客事件占据了头条,而网络钓鱼——造成近五分之一损失的罪魁祸首——却被悄然正常化。
“这是一个没有人愿意承担责任的最大风险。”
金融欺诈的根本问题
严酷的事实是:网络钓鱼并不是一个次要问题。直到我们停止将其视为“用户错误”,并开始将其视为金融欺诈,我们就正在主动破坏自己的未来。在传统金融中,欺诈预防是基础设施的一部分。银行会自动监控异常行为,可以对交易进行冻结,并且通常会通过实时警报保护用户。
如果出现问题,就会有一个流程:欺诈部门进行调查,保险生效,消费者通常会获得赔偿。在美国,E法规确保消费者在及时报告的情况下不对未经授权的电子转账承担责任。即使是Zelle这样的点对点支付平台,也受到监管机构和银行的压力,要求对欺诈受害者进行赔偿。
至关重要的是,用户关心的并不是他们的银行是否拥有完美的安全系统,而是他们永远不会被迫承担损失。保险,提供几乎即时的赔偿且无需质疑,才是真正的安全网。
Web3的安全缺失
相比之下,Web3让用户自生自灭。点击错误的链接,签署恶意交易,行业却对此无动于衷:这是你的错。这种心态既不公平也不可持续。当数百万美元的诈骗每天发生时,这不是运气,而是基础设施的破裂。
普通用户不应该需要成为网络安全专家才能参与金融系统。他们只需要知道系统会支持他们。Web3的安全讨论是向后看的。智能合约审计、事件报告和“再也不发生”声明主导了讨论,但仅在损害发生后。
需要实时保护的系统
审计无法阻止网络钓鱼邮件,事后分析无法保护钱包,实时预防缺失。我们需要的是能够实时监控交易、分析行为并在钱包级别自动保护用户的系统。这些工具以各种形式存在——交易意图预览、恶意合约警告、钱包级别的保护——但采用情况分散,保护措施仍然是可选而非标准。
行业必须使这些保护措施变得无形、自动和普遍。人们很容易认为网络钓鱼主要影响不成熟的零售用户,但这种心态正是阻碍Web3发展的原因。零售用户自然会对一个错误点击就可能抹去他们资金的系统感到犹豫。
网络钓鱼的影响与未来
机构不会向无法满足基本欺诈标准的市场投入资本。即使是大型交易所和保管机构也将安全风险视为进入机构市场的障碍。网络钓鱼不仅仅是一个安全问题,它是采用的瓶颈。忽视它会削弱生态系统的未来。
传统金融并不完美,但它理解欺诈是一个系统性威胁。可疑交易会被标记,用户会自动收到通知,并且有既定的调查和赔偿流程。这些是标准期望,而不是可选功能。
“令人沮丧的是,Web3实际上拥有更好的工具。”
我们有可编程的基础设施,我们在链上拥有完全的透明度,我们有能力将实时分析构建到系统的核心中。尽管如此,行业仍然落后于传统金融,而不是引领潮流。主流采用与持续停滞之间的界限不在于更快的区块链,而在于信任。
结论
现在,用户并不感到安全。直到网络钓鱼被视为金融欺诈,损失将继续。实时检测必须内置于交易层,钱包保护必须是主动的,而不是被动的。用户必须知道系统本身在保护他们。
欺诈预防不是最终目标,无畏的用户体验才是。安全是推动者,但保险是承诺:无论发生什么,用户都不会被毁掉的保证。这是采用的基础。
审计、教育和指责用户无法解决这个问题。我们必须设计出解决方案。欺诈检测和保护需要直接内置于基础设施中。这些系统应该自动工作,默默无闻,而不需要用户的意识。毕竟,银行客户不需要阅读代码来验证交易,Web3用户也不应该如此。
Web3未来的决定性问题很简单:用户是否相信他们的资金是安全的?现在,答案是否定的。网络钓鱼不是一个脚注,它是头条;是时候让行业以这种方式对待它了。
——亚历克斯·卡茨
