Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。
2022年以来,朝鲜黑客组织Lazarus Group从加密行业窃取了超过22亿美元。同期,行业代码审计数量翻了三倍。但失窃金额和攻击事件数量并未显著下降。Oak Security 的最新研究揭示了一个令人不安的结论:绝大多数成功的攻击根本绕过了审计所保护的安全边界。审计在变强,但攻击者已经换了玩法。对于持有SFC、MAS、MiCA牌照的合规加密机构而言,这个发现比任何单次安全事件都更具战略警示意义。
发生了什么:审计数量翻三倍,损失为何不降反稳
22亿美元失窃与审计繁荣的悖论
CoinDesk 6月17日发表了一篇来自Oak Security研究团队的深度评论(CoinDesk,6月17日)。文章指出,加密行业在过去几年中代码审计水平有了实质性的提升——安全公司部署了越来越复杂的工具和方法来发现智能合约漏洞,代码质量确实改善了。传统意义上的智能合约漏洞导致的攻击确实减少了。
但问题在于:审计在被要求做的事上做得越好,整个行业的安全状况反而越危险。因为最大的损失根本不来自由传统审计覆盖的攻击面。
五大真实攻击向量:全部绕过了代码审计
Oak Security的调研表明,按财务损失衡量,当前最致命的攻击向量依次为:
- 私钥泄露:2026年6月初Humanity Protocol私钥泄露事件导致17个钱包被清空,超过3000万美元损失,H代币日内暴跌超80%(CryptoDaily,6月)
- 治理操纵:攻击者通过闪电贷获取治理代币,操纵协议参数——这根本不需要利用代码漏洞
- 内部人员威胁:团队成员的权限滥用或账户泄露
- 恶意依赖项更新:供应链攻击,通过被污染的第三方库注入恶意代码——传统审计通常不覆盖依赖库的内部变更
- 运营故障:多签钱包配置错误、基础设施被入侵等
Oak Security的原话很直白:「再优秀的代码审计,也无法阻止一个开发者落入钓鱼攻击的陷阱。世界上最好的代码,依然可能跑在最脆弱的运营基础设施之上。」
为什么重要:持牌机构的合规盲区
「审计数量」正在成为虚假的安全信号
文章指出了一个正在形成但极其危险的行业惯例:项目方频繁以完成了几轮审计、聘请了哪些知名审计机构、有多少发现项来展示自身安全性。这些指标已经成为用户和投资者判断项目是否「安全」的快速参考标准。
这是一种「审计幻觉」——Oak Security称之为「危险的虚假安全感」。一家项目完成10次代码审计且全部通过,不等于它可以抵御一次针对核心开发者的私钥钓鱼攻击。对于持牌机构而言,如果内部风险评估框架过度依赖代码审计结果而忽略运营安全向量,这种审计幻觉可能导致监管资本配置的系统性偏差。
合规视角:VASP牌照条件中的「安全」到底该覆盖什么
从香港SFC、新加坡MAS到欧盟MiCA,VASP牌照条件中对「安全」的要求通常表述为「充分的系统安全措施」或「稳健的网络安全框架」。但在实际操作中,这些要求往往被简化为「代码审计通过」。如果一家持牌交易所完成了所有合约审计但私钥管理流程松散、多签签名者缺乏反钓鱼培训,它是否真正满足了牌照条件中的「充分安全措施」?
Oak Security的研究实质上提出了一个合规命题:监管机构和持牌机构都需要重新定义「安全审计」的范围——它不应只覆盖代码层面,而应扩展到包括人事安全、密钥管理、供应链安全、运营韧性在内的完整安全光谱。
怎么看:持牌机构需要做什么
- 运营安全审计制度化:除了每年1-2次智能合约审计外,增加对私钥管理流程(HSM配置、多签签名者分布、关键权限访问日志)的独立审计,频率不低于季度
- 反钓鱼与社会工程培训:对所有拥有系统权限的团队成员进行强制性安全意识培训,特别是针对定向钓鱼攻击的模拟演练
- 依赖项更新审批:关键生产系统的依赖项更新应实行双人审批制,更新日志和代码差异须在部署前进行独立审查
- 牌照审计清单更新:在向SFC/MAS/MiCA提交的合规审计报告中,明确区分「代码安全审计」与「运营安全审计」两个独立模块,确保后者不被前者所掩盖
报告期的深层含义
Oak Security这篇文章发布的时机值得注意——紧接着Humanity Protocol 3000万美元私钥泄露事件。这篇文章本质上是在向行业发出信号:加密安全产业需要一次自反性升级。审计公司自己也要承认,传统审计产品已经不足以覆盖真实威胁面。对于那些以「持牌」「合规」为核心竞争力的加密机构来说,这个信号尤为关键——因为牌照条件中的安全义务,理应比一般行业标准更为严格。
当审计行业自信满满地报告「今年比去年多做了50%的审计」时,Lazarus Group的累积战绩已经从22亿美元继续往上加。这个剪刀差才是加密安全真正的噩梦。
本文基于 CoinDesk 评论文章(6月17日) 及 CryptoDaily 报道(6月) 撰写。Oak Security 研究数据为文章核心论据来源。作者 Tony,Aiying 艾盈团队原创。
