CertiK 的 Hack3d 報告記錄了在 2026 年上半年,超過 13.1 億美元的損失,涉及 344 起事件,若排除 Bybit 攻擊,則較去年同期高約 28%。安全專家警告,人工智慧工具正加速攻擊行動與長期隱藏漏洞的發現,程式碼缺陷導致 204 起事件,為所有攻擊向量中最高。由安全工程師 Taylor Hornby 利用 Claude 驅動的審計代理發現的 Zcash Orchard 池中的四年老漏洞,促使包括 TRM Labs 在內的公司呼籲持續審查而非一次性審計。CertiK 表示,儘管 2025 年上半年 headline 損失較去年同期下降 46.8%,其中包括 14.5 億美元的 Bybit 資安漏洞,但整體安全環境在多個重要層面已惡化。
CertiK 記錄 13.1 億美元的加密貨幣損失,涉及 344 起事件
CertiK 的 Hack3d 報告顯示,2026 年上半年損失超過 13.1 億美元,涉及 344 起事件。儘管 headline 損失較 2025 年上半年下降 46.8%,但該期間仍包含 14.5 億美元的 Bybit 攻擊。若排除 Bybit 事件,CertiK 表示損失較去年同期高約 28%。約有 1.15 億美元被凍結或追回,淨損約為 12 億美元。報告指出,基礎安全環境並未改善,反而在多個重要層面惡化。
錢包遭入侵與釣魚攻擊在 2026 年上半年造成 8.108 億美元損失
錢包遭入侵是最昂貴的攻擊向量,造成 4.445 億美元的損失,涉及 33 起事件。四月產生了該半年內兩起最大單一事件:2.91 億美元的 Kelp DAO RPC 攻擊與 2.85 億美元的 Drift Protocol 破壞。釣魚攻擊次之,造成 3.663 億美元的損失,涉及 63 起事件,事件數較去年同期下降 52.3%,但損失僅下降 10.8%。約有 4 起事件佔該類別損失的約 85%,CertiK 將此歸因於高度針對性的社交工程攻擊。
程式碼漏洞造成 1.516 億美元的損失,涉及 204 起事件,為所有類別中最高。CertiK 發現攻擊者越來越多針對超過一年的遺留合約,並利用改良的自動化工具大規模發現潛在漏洞。該公司警告,最大脆弱期並不會在上線後結束。
Taylor Hornby 利用 Claude 代理發現四年前的 Zcash 漏洞
安全工程師 Taylor Hornby 受 Shielded Labs 委託審計 Zcash,在五月底利用 Anthropic 的 Claude 驅動的自訂審計代理,發現了隱私網路 Orchard shielded 池中的四年老穩定性漏洞。該漏洞自 2022 年 5 月起存在於程式碼中,可能允許未被偵測的偽造。修補程式於 6 月 1 日推出,緊急硬分叉於 6 月 3 日進行,開發者相信未曾被利用。ZEC 在 6 月 5 日披露後,約下跌三分之一。
Anthropic 研究發現 AI 代理揭露 460 萬美元的模擬攻擊
Anthropic 於 12 月的研究指出,AI 代理在 405 個先前遭攻擊的合約中,揭露了等值 460 萬美元的模擬攻擊,並在篩查 2,849 個較新合約時,發現了兩個未知漏洞。
TRM Labs 呼籲持續審查而非一次性評估
TRM Labs 全球政策主管 Ari Redbord 表示,數據顯示應持續進行審查,以取代一次性審計,因為攻擊技術的變化速度超過了發佈當天的審查能夠追上的速度。
常見問題
CertiK 的 Hack3d 報告對 2026 年上半年加密貨幣損失有何發現?
CertiK 的 Hack3d 報告記錄了在 2026 年上半年,超過 13.1 億美元的損失,涉及 344 起事件,若排除 14.5 億美元的 Bybit 攻擊,則較去年同期高約 28%。程式碼漏洞造成 204 起事件,為所有攻擊向量中最高,CertiK 表示整體安全環境在多個重要層面已惡化。
Taylor Hornby 如何發現這個四年前的 Zcash 漏洞?
受 Shielded Labs 委託審計 Zcash 的 Taylor Hornby,在五月底利用 Anthropic 的 Claude 驅動的自訂審計代理,發現 Orchard shielded 池中的四年老漏洞。該漏洞自 2022 年 5 月起存在,可能允許未被偵測的偽造。修補程式於 6 月 1 日推出,緊急硬分叉於 6 月 3 日進行,開發者相信未曾被利用。
為何 TRM Labs 建議持續審查而非一次性評估?
TRM Labs 全球政策主管 Ari Redbord 表示,數據顯示攻擊技術的變化速度快於發佈當天的審查能追上的速度,且越來越多攻擊者針對超過一年的遺留合約,這得益於改良的自動化工具能大規模發現潛在漏洞。