私钥管理漏洞成加密货币安全主要隐患，行业转向多层防护措施

来源：CoinDesk 发布时间：2025年2月

根据DeFiLlama的数据，加密货币项目因黑客攻击、去中心化金融（DeFi）漏洞和跨链桥攻击累计损失约166.9亿美元。其中约40%的损失与私钥被盗有关，而非区块链底层技术或智能合约代码的缺陷。

私钥是加密货币钱包中用于证明资产所有权并执行交易的关键字符，其作用类似于传统银行账户的密码。安全公司CertiK向CoinDesk表示，运营安全事件正在上升，而智能合约漏洞事件则呈下降趋势，反映出攻击者通常选择最薄弱环节下手。随着项目将安全投入集中在智能合约上，其他关键领域便暴露在风险之中。

ZyK Proof Layer Cysic的创始人兼首席执行官Le Fan指出，私钥泄露并非加密算法失败，而是密钥管理上的失败。他解释说，私钥一旦被使用、存储或共享，就可能面临泄露风险。一个被使用的私钥通常会存在于运行的服务中，周围围绕着云凭证、软件依赖项和操作人员，这些环节正是攻击者可以突破的地方。

Pharos联合创始人兼首席执行官Wish Wu认为，问题的根源在于区块链系统最初的设计模式。大多数区块链基础设施采用单一用户、单一密钥的模型，一把私钥控制所有资产，一旦丢失或被盗，全部资产立刻消失，这与传统金融中多重审批、职责分离、多层防御等基本安全原则相悖。此外，攻击途径显著增加，云系统、第三方工具、社交媒体账号以及操作人员都成为可能的攻击入口。

两人均提及2025年2月的Bybit黑客事件作为攻击面扩大的案例。攻击者通过渗透第三方开发者工具的软件供应链，在钱包的网页界面中注入恶意代码，诱使管理人员无意中签署了价值15亿美元的以太坊转账。

为应对私钥漏洞，行业正在采取多种措施。Wish Wu表示，多方计算（MPC）钱包、具备社交恢复功能的账户抽象、基于通行密钥的登录、硬件钱包强制使用以及规范的密钥管理标准作业程序正在多个方向推进。但问题在于，这些往往被当作可选附加功能，而非从协议层面内建的核心设计原则。

多方计算（MPC）和阈值签名技术将签名过程拆分，确保完整密钥不会在任何时刻单独存在于一个位置，从而避免单次攻击就能窃取全部密钥。账户抽象技术允许用户将智能合约作为账户，并在钱包内设置支出限额、批准地址列表和备份守护者，即使某个签名者被攻破，也无法单独清空账户。

Wish Wu强调，未来的方向是将安全视为持续、日常的纪律，而非一次性的审计。这意味着安全需要贯穿开发、部署和运营的整个生命周期，并承认人为因素——安全文化、意识和培训——往往是第一道也是最薄弱的防线。

信息来源：CoinDesk