Ai总结： 过去十年加密领域累计损失超170亿美元，攻击重心从智能合约转向私钥与凭证窃取。近期rsETH跨链桥遭重创，凸显系统性风险，行业亟需强化身份防护与多签机制。

十年加密劫掠致损逾170亿，攻击焦点由代码转向人性弱点

据数据平台统计，近十年来全球共发生518起加密资产安全事件，总金额突破170亿美元。值得注意的是，攻击路径正经历深刻转变：早期以智能合约缺陷为主导，如今则更多聚焦于用户端的私钥管理疏漏、钓鱼诱导及身份凭证盗用等非技术层面漏洞。

跨链生态安全危机加剧，单次失窃规模逼近三亿

本年度最引人注目的事件为Kelp DAO推出的rsETH跨链桥遭受针对性攻击，约11.65万枚rsETH（价值介于2.9亿至2.93亿美元）被非法转移。该事件不仅刷新了去中心化金融领域的单笔损失纪录，更揭示出跨链协议在信任机制设计上的深层隐患。

攻击模式演进：从代码漏洞到心理操控

历史数据显示，早期黑客主要利用智能合约逻辑缺陷与闪电贷套利机制实施攻击；而当前趋势显示，攻击者已将目标转向加密生态中的“软性环节”——通过社会工程学、伪造短信验证、SIM卡劫持等方式，直接渗透用户设备与签名流程。安全研究机构警告，未来可能出现融合人工智能生成内容的高级钓鱼攻击，甚至可误导具备专业背景的用户签署恶意交易指令。

跨链桥梁成为高危区域，单一验证者风险暴露

在全部损失中，涉及跨链桥的攻击占比接近30亿美元，占总额近两成。包括Ronin、Wormhole在内的多个知名跨链项目曾遭遇严重漏洞。此次rsETH事件即源于攻击者在基于LayerZero的链上伪造跨链消息，成功向受控地址铸造大量代币并完成提币。

事件引发系统暂停，相关团队与交易所迅速启动应急响应。围绕LayerZero采用的单验证者架构是否合理，业界展开激烈辩论。批评方指出，该设计使整个系统依赖单一密钥，一旦失效即可能触发灾难性代币滥发。

日常操作失误仍是最大威胁源

今年第一季度，黑客已从34个去中心化金融协议中非法获取约1.686亿美元资产，其中最高单笔损失达4000万美元，源自Step Finance协议的私钥外泄，而非代码层面问题。这表明尽管智能合约审计日益严格，但攻击者已将战场前移至钱包管理与交互链路环节。

面对不断升级的威胁环境，仅依赖形式化验证与常规审计已显不足。行业共识正转向部署硬件密钥、多重签名机制、独立签名设备以及规范化的密钥生命周期管理。持续开展反钓鱼教育亦被视作关键防线——每一次疏忽，都可能在损失榜单上刻下一笔九位数的代价。