加密貨幣(크립토)Q1 安全事故損失逾 4.5 億美元：「人」取代程式碼成最大風險

今年第 1 季度「加密貨幣(크립토)」安全事故損失超過 4.5 億美元，卻不再是大家熟悉的「智慧合約漏洞」主導，而是「人」本身成為最大風險 —— 從開發者、專案貢獻者到一般使用者，都成了攻擊者眼中的首要目標。

根據 DefiLlama 與 Hacken 於 15 日（當地時間）公布的資料顯示，2026 年第 1 季度整個加密貨幣產業共發生 145 起安全事故，累計損失約 4.5 億美元。與此同時，因智慧合約「程式碼」漏洞造成的損失較前一年同期驟減 89%，但透過「釣魚(피싱)」與「社交工程(사회공학)」等手法造成的損失卻高達 3.06 億美元，占據整體損失絕大部分，「人」相關的風險急速浮現。

「評論」這意味著，即便合約本身愈來愈安全，只要人被騙、權限被奪走，資產依舊守不住。

其中最具震撼性的案例，是「Drift Protocol」遭駭事件。根據 TRM Labs 說法，這起發生在去年 4 月 1 日的攻擊，造成約 2.85 億美元資金遭竊，被指與北韓相關駭客組織 UNC4736 有關。攻擊者疑似在長達 6 個月時間內鎖定該專案的貢獻者，布下多重陷阱：包含惡意程式碼儲存庫、偽裝成正常工具的錢包應用程式等，逐步竊取關鍵存取權限。最終讓大量資產外流的，不是智慧合約本身的缺陷，而是對「信任」與「人性」的精準操弄。

「評論」這凸顯出一個關鍵現實：當駭客放棄與程式碼「硬碰硬」，改為滲透團隊與社群，傳統技術審計就顯得力有未逮。

值得注意的是，今年第 1 季度中，即便已多次通過「安全審計(audit)」的協議，也無法完全擋下這種新型態攻擊。有專案儘管經歷多達 18 次審計，最終仍遭入侵，顯示只強化「程式碼」安全已不足以全面防禦。去中心化交易聚合協議「CoW Swap」就曾遭遇 DNS 劫持(DNS hijacking)，駭客藉由竄改網域解析導流使用者；跨鏈協議「Hyperbridge」則因偽造跨鏈證明而損失約 23.7 萬美元；錢包與投資介面平台「Zerion」同樣被指遭到與北韓有關的社交工程攻擊，造成約 10 萬美元損失。

這一連串事件，正在重新定義「加密貨幣(크립토)安全」的核心問題。產業過去習慣問的是：「這份智慧合約的程式碼是否安全？」如今問題卻變成：「所有擁有關鍵存取權限的人，是否早已被鎖定為攻擊對象？」在「釣魚(피싱)」和「社交工程(사회공학)」攻擊不斷升級的情況下，只靠加強程式碼審計，已難以全面防禦風險。

「評論」從整體趨勢來看，「人」正在取代「程式碼」成為安全環節中的最薄弱一環，未來加密貨幣與 DeFi 項目若要降低損失，勢必得將更多資源投入到團隊訓練、存取權限控管、多重簽章、風險文化與使用者教育等「人本安全」機制之上，而不只是把希望押在審計報告與技術防線。