19億個被泄露的密碼暴露加密貨幣的核心漏洞：操作風險，而非程式碼缺陷

加密貨幣產業在2025年的破紀錄損失，並非主要源自高級智能合約漏洞或協議層級的程式碼失誤。相反，最大規模的安全漏洞追溯到一個更根本的弱點：目前在暗網和地下市場流通的大量被破解的密碼庫。全球有數十億個帳號資料被竊取，攻擊者比以往任何時候都更容易透過簡單的憑證盜取和社交工程手段，突破加密錢包、交易所帳戶和企業基礎設施，而非依賴昂貴的技術漏洞。

「關於加密貨幣駭客攻擊的敘事已經徹底改變，」Immunefi 這個鏈上安全平台的執行長Mitchell Amador在分析新興威脅格局時表示。「儘管2025年是史上安全損失最嚴重的一年，但大部分損害來自操作漏洞和被竊取的憑證，而非程式碼破壞。」

這個區別對產業在2026年及未來的防禦策略具有深遠的意義。儘管開發者對鏈上協議安全的可衡量改善感到欣慰，但實際的攻擊面已完全轉移：到密碼、認證系統和人類決策過程。

從程式碼漏洞到憑證盜竊：安全範式的轉變

DeFi 協議和主要的鏈上系統已變得極難透過傳統技術手段被攻破。安全審計、正式驗證方法和漏洞賞金計畫已系統性地降低了可利用的程式碼漏洞。然而，同時，加密貨幣產業面臨一個逆向問題：隨著技術安全的加強，人為操作安全已成為主要的薄弱點。

全球被竊取的憑證數字達到 190 億，凸顯了這一轉變的規模。每一組憑證都代表著潛在的入口點，能進入加密帳戶、企業系統和機構基礎設施。攻擊者不再需要開發零日漏洞或花數月分析字節碼；他們只需取得密碼資料庫，交叉比對加密貨幣交易所的電子郵件地址，並發起定向的憑證填充攻擊。

「超過90%的專案仍然存在關鍵且可被利用的漏洞，」Amador 承認，但他強調一個反直覺的事實：「鏈上安全正迅速改善。2026年的真正戰場將在人的監督防線上，而非在智能合約本身。」

社交工程利用數十億被盜密碼

Chainalysis 2026 年加密犯罪報告顯示，詐騙和欺詐已大幅超越傳統基礎設施駭客攻擊，成為主要的損失來源。2025年，約有 170 億美元因詐騙和欺詐方案而蒸發，這個令人震驚的數字反映了憑證攻擊的規模。

最具破壞力的手法是結合被竊取的密碼與社交工程的精準操作。冒充詐騙單一類型的案件激增了 1,400%，攻擊者假扮成合法的客服人員、交易所代表或協議開發者，說服受害者自願交出認證資料或私鑰。

本月早些時候，一個高調的案例凸顯了這一威脅：區塊鏈研究員 ZachXBT 揭露了一個精心策劃的社交工程攻擊行動，攻擊者從中獲得了 2.82 億美元的比特幣和萊特幣。受害者在攻擊者（可能利用被竊取的員工憑證或攔截的通訊）操控下，轉移了 2.05 百萬 LTC 和 1,459 BTC，資金立即被引導至隱私混合器，然後轉換成門羅幣。

這類事件說明了被竊取的密碼、社交工程和攻擊者的高階技巧相互交織，為個人用戶甚至機構設置了幾乎無法逾越的障礙。攻擊者的工具箱不再需要深厚的區塊鏈知識——只需存取被竊的憑證和具說服力的社交工程技巧。

AI 放大威脅：詐騙激增，偵測滯後

人工智慧徹底改變了憑證攻擊的經濟規模。根據 Chainalysis 的數據，2025年，AI 支援的詐騙行動比傳統方案的獲利高出 450%，因為 AI 可以自動化 victim targeting、釣魚訊息生成和社交工程，達到前所未有的規模。

這種效率提升使攻擊者能更快速、更智能地處理數十億被竊取的密碼，而非像過去那樣逐一搜尋特定受害者的憑證。AI 系統可以自動比對被竊資料庫與已知的加密貨幣用戶，識別高價值目標，生成個人化的社交工程腳本，並在多個渠道同步執行協調攻擊。

然而，防禦措施仍然不足。Amador 指出一個驚人的差距：「不到1%的產業採用防火牆保護，少於10%的已部署 AI 驅動的偵測工具。」這種防禦缺口意味著被竊的密碼庫仍在推動攻擊，而機構對於保護技術的採用仍然微不足道。

鏈上安全提升，但人類防線仍脆弱

2025年的矛盾點在於：鏈上安全大幅增強，但總損失卻在上升。這個矛盾在於實際的漏洞發生位置。協議程式碼變得更具韌性，但人為層面——密碼、員工存取權和社交工程的易受攻擊性——卻變得更脆弱，成為主要的攻擊面。

Amador 預計，2026年將是「純粹從程式碼角度來看，鏈上安全的最佳年份」。DeFi 協議將持續加強對傳統漏洞的防禦，但他同時警告，這種技術進步掩蓋了一個更深層的脆弱點：「人為因素現在是鏈上安全專家和 Web3 參與者必須優先處理的薄弱環節。」

這個警訊十分嚴峻。隨著數十億被竊取的密碼仍在地下市場和攻擊者社群中活躍流通，憑證攻擊的入侵門檻持續降低。只需持續、具備社交工程技巧和耐心，攻擊者就能利用這些資料庫中的數十億密碼，輕鬆找到脆弱的目標。

為2026年做準備：新的安全前沿

未來的加密貨幣安全演進將在與過去協議安全戰爭截然不同的戰場上展開。Amador 強調：「在2026年，AI 將改變雙方的安全節奏——防禦者將依賴 AI 驅動的監控與反應，以機器速度應對威脅，而攻擊者也會部署相同的工具進行漏洞研究和社交工程，規模化操作。」

一個新興且可能更具破壞性的威脅是鏈上 AI 代理人——自主系統在沒有人工干預的情況下執行金融決策。這些代理人引入了新型攻擊面：「鏈上 AI 代理人可以比人類操作者更快、更強大，」Amador 警告，「如果它們的存取路徑或控制層被破壞，則極易受到操控。」隨著產業朝向自主交易和協議管理系統發展，這些安全議題仍大多未被充分探索。

全球流通的 19 億被竊密碼僅代表當前危機層面。隨著 AI 加速攻擊行動和自主系統的普及，安全重點將從程式碼審查轉向操作強化：員工訓練、憑證管理、存取控制系統和監控基礎設施。在這個過程中，攻擊者已經發現，竊取數十億密碼的回報遠高於試圖攻破逐漸變得更具韌性的程式碼。除非產業能充分防禦人為和操作層面，否則這一趨勢很可能在2026年持續存在。