比駭客更危險的是自己人?北韓駭客頻頻攻擊,瞄準Web3散漫文化
Web3 團隊面臨北韓駭客滲透威脅,暴露出營運安全文化嚴重不足。從 Discord 登入到資金治理皆存漏洞,專家呼籲建立制度化的全方位安全架構。
此外,他們還針對 MetaMask 與 Trust Wallet 發動惡意程式攻擊,試圖透過「偽裝成求職者」的方式滲透交易所內部,更在美國境內設立空殼公司,專門鎖定加密開發者下手。
這些攻擊越來越精細,手段越來越多元,但核心並不在於技術突破,而是針對「操作安全」的破綻下手。
延伸閱讀
幣託BitoPro遭駭調查出爐!幕後黑手是北韓駭客,被盜過程公開
駭客不再找漏洞,他們只找人類失誤
Web3 團隊長年專注在智能合約安全,卻普遍忽略組織營運中的營運安全問題(OPSEC,Operational Security)。來自 Oak Security 的專家指出,該公司已對 600 多個加密專案進行安全審計,發現大多數團隊對營運安全幾乎沒有設防。
常見問題包括:
這些錯誤,讓專案團隊成為「不費吹灰之力」的攻擊對象。
僅靠程式碼防守,不足以抵禦現代攻擊
傳統智慧認為「只要智能合約審計通過,系統就安全了」,但現實卻完全相反。駭客根本不需要突破 Solidity 的零時差漏洞,只要滲透一位內部人員,就能癱瘓整個專案。
2025 年 5 月,Coinbase 就因一名海外客服人員遭到駭客賄賂,導致客戶資料外洩,面臨 1.8 億至 4 億美元 的賠償與勒索風險。同樣的手法也試圖應用於 Binance 與 Kraken。
這些事件都不是技術錯誤,而是人為疏失。
Web3 的日常作業,成了駭客天堂
目前 Web3 團隊的日常操作堪稱駭客夢想:
更令人擔憂的是,有些 DAO 掌管上億美元資產,卻用業餘的 Discord 投票與「週末版多簽」進行治理,安全漏洞如同開門迎賊。
傳統金融如何守住百億資產?Web3 該學習的地方還很多
傳統金融(TradFi)機構同樣面對來自北韓駭客與全球網攻壓力,但鮮少因此停擺,靠的是系統性防禦與成熟的安全文化。
銀行內部制度包含:
這些都不只是「為了合規」,更是保命之道。Web3 若真想長久發展,就得從這些制度中學習,打造符合去中心化特性的全方位安全架構。
安全不該只是「選配」,Web3 需要徹底改革文化
一些前衛項目已開始導入:
但可惜的是,這類措施仍是少數例外,絕非產業常態。
去中心化不是不負責任的藉口
Web3 安全落後的一個核心原因,是「去中心化」與「安全控制」之間的矛盾。許多團隊預算不足、人員流動性高,甚至對資安有文化抗拒,認為「設定防火牆就是中心化」。
但現實很殘酷:北韓駭客已在系統內部,世界經濟也正逐步建立在區塊鏈之上。
若 Web3 繼續容忍這樣的營運鬆散,駭客與詐騙集團將會持續視其為「永續資金池」。要止血,不是寫出完美程式碼,而是建立更成熟的組織安全文化。