區塊鏈安全事件在2026年H1激增50%,受供應鏈和AI威脅影響

ZRO1.29%
AAVE-3.54%

SlowMist 的年中報告記錄了 2026 年上半年發生 182 起區塊鏈安全事件,較 2025 年上半年的 121 起增加 50%,總損失約達 9.56 億美元。總損失從 2025 年上半年的 23.7 億美元下降 60%,原因並非攻擊頻率或複雜度降低,而是缺乏單一災難性事件。報告將事件激增歸因於攻擊手法轉向複雜的供應鏈攻擊及 AI 驅動威脅,使攻擊面擴展至傳統智慧合約漏洞之外。DeFi 仍是最受針對的領域,佔事件數近 64%,損失約 4.9 億美元;而跨鏈橋則在 20 起事件中產生最高單起損失,約 3.46 億美元。此趨勢反映出網路威脅的產業化,同時伴隨亞洲、歐洲及美洲在虛擬資產合規與反洗錢框架上的全球監管趨同。

DeFi 與跨鏈橋驅動 2026 上半年損失

根據 SlowMist,DeFi 協議佔 2026 上半年所有安全事件近 64%,損失約 4.9 億美元。跨鏈橋被證明是財務損害最嚴重的類別,僅 20 起事件便產生約 3.46 億美元的累計損失。其中 4 月的 KelpDAO 漏洞事件就佔了 2.92 億美元。攻擊者入侵 LayerZero 的 RPC 基礎設施,對合法驗證節點發動 DDoS 攻擊,並偽造跨鏈訊息以無需抵押鑄造並提取資產。被盜的代幣隨後被用作 Aave 等借貸平台上的假抵押品,加劇了 DeFi 領域的損失。SlowMist 將此事件歸因於北韓 Lazarus 集團。

供應鏈與 AI 攻擊使區塊鏈威脅產業化

供應鏈投毒在 2026 上半年的事件數量排名第三,但產生了最高總損失約 2.98 億美元,主要來自 KelpDAO 案例。根據報告,除了該單一事件外,還有許多供應鏈事件針對套件管理儲存庫、CI/CD 管線、CDN 分發鏈以及 AI 代理外掛市場。2026 上半年的釣魚活動採用了 SlowMist 所描述的「平台冒充 + 多階段互動 + 動態酬載注入」模式。惡意瀏覽器擴充功能模仿合法錢包工具,Google 搜尋廣告將用戶導向剪貼簿劫持惡意軟體,而偽裝成審計確認的魚叉式釣魚郵件則傳遞了能夠建立持久遠端存取的 AppleScript 酬載。在數起案例中,攻擊者將釣魚基礎設施嵌入受信任的域名內,包括 business.google.com,以規避自動偵測系統。

報告指出,AI 已被部署於整個攻擊生命週期,以產生令人信服的冒充內容、自我審查惡意程式碼以規避偵測,並優化社交工程腳本。深度偽造語音與視訊技術被用於針對高價值個人的社交工程活動,每起事件有紀錄的損失達數百萬美元。Lazarus 集團的分支 HexagonalRodent 被觀察到使用 ChatGPT 和 Cursor 來製作詐騙企業網站,並捏造管理團隊身分,以進行針對 Web3 開發者的虛假招聘行動。

全球監管機構在 2026 上半年加強虛擬資產合規

香港於 4 月發放首批法幣參考穩定幣發行牌照。台灣將加密貨幣監管制度從反洗錢登記升級為全面金融牌照。在美國,GENIUS 法案的實施從立法階段進入擬議規則制定階段,而 FinCEN 與 OFAC 聯合發布了為持牌支付穩定幣發行人建立統一合規框架的規則草案。歐盟首次對與設立在俄羅斯的加密資產服務提供者進行交易實施行業範圍的禁止。

SlowMist 的報告總結指出,供應鏈攻擊、AI 輔助詐欺以及如 Lazarus 集團等與國家有關聯的網路犯罪組織的激增,已清楚顯示韌性需要系統性的治理,涵蓋資金流監控、VASP 註冊、身分驗證以及跨境執法合作。

常見問題

2026 上半年區塊鏈安全事件增加 50% 的原因為何?

SlowMist 的報告將 50% 的增加歸因於攻擊手法轉向複雜的供應鏈攻擊與 AI 驅動威脅,這些威脅將攻擊面擴展至傳統智慧合約漏洞之外。

2026 上半年哪個區塊鏈領域經歷了最高的財務損失?

根據 SlowMist,跨鏈橋在 20 起事件中產生了最高的單起事件損失,約 3.46 億美元,其中 4 月的 KelpDAO 漏洞事件就佔了 2.92 億美元。

香港在 2026 上半年採取了哪些監管行動?

香港於 4 月發放首批法幣參考穩定幣發行牌照,如 SlowMist 報告所記載。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆