攻击「人」更易于攻击代码，Web3 被盗资金追回率已不足 10%

撰文：Tiger Researcher

编译：AididiaoJP，Foresight News

关键要点

• 截至 2026 年 4 月，Web3 黑客攻击事件接连发生，仅 4 月就报告了 12 起事件。
• 社会工程攻击占比逐年上升，在 2026 年第一季度已占总黑客损失的 74.7%。攻击人比攻击代码更容易。
• 自 2020 年以来，被盗资金的平均追回率始终低于 10%。与传统金融不同，Web3 无法阻止链上直接盗窃，资金在攻击发生的那一刻就已流出。
• Bybit 遭受 15 亿美元黑客攻击后，仍能继续运营且未让投资者蒙受损失，这得益于交易所间的协调和储备资金。而 DeFi 项目一旦资产离开协议，就没有这样的缓冲时间。
• 反复发生的黑客攻击和低于 10% 的追回率，是机构投资者至今不愿入场的关键障碍。Web3 需要的不是理念，而是结构化和可问责的运作机制。

黑客攻击仍在持续发生

@hyperbridge（一个连接 Polkadot 和 Ethereum 的跨链桥协议）遭到攻击。

攻击者利用证明验证逻辑中的漏洞，伪造跨链消息，导致在 Ethereum 上未经授权铸造约 10 亿枚桥接 DOT。经确认，用户在 Ethereum、Arbitrum、Base 和 BNB Chain 上的损失总计达 250 万美元。

在 Polkadot 跨链桥被攻击之前，DeFi 协议@DriftProtocol 遭受了 2.957 亿美元的严重攻击。一个与朝鲜相关的黑客组织花费六个月时间与团队成员建立信任，随后夺取治理权限，这是一次高度精密的社会工程操作。Tether 随后提出 1.275 亿美元的支持方案，但总援助金额 1.475 亿美元仍远不足以覆盖全部 2.957 亿美元的损失。

此后黑客攻击并未停止。加上 Drift 事件后的小型攻击，单 4 月就发生了 12 起。在这个以可编程金融为基础的行业中，安全漏洞不断累积，投资者和机构都日益感到不安。

黑客攻击的目标是人

Drift Protocol 的黑客攻击源于一名团队成员的电脑被入侵。攻击目标并非智能合约漏洞或系统缺陷，而是一个人。

更大的问题是，社会工程攻击在 Web3 黑客事件中的占比正在持续扩大。

2021 年，社会工程攻击占总黑客损失的 28.7%，2025 年升至 64.3%，2026 年第一季度进一步达到 74.7%。针对人的攻击持续扩张，而代码层面的漏洞利用占比则相对下降。

鉴于区块链的开源特性，人们原本以为代码漏洞会占据主导。但现实中，社会工程已成为更主要的攻击向量。原因很简单：攻破一个拥有现有权限的人，比找到代码中的漏洞要容易得多。

传统行业也呈现相同规律。2025 年，70% 的企业黑客攻击都涉及社会工程，这一攻击手法已直接移植到 Web3 领域。

然而，Web3 与传统金融有一个关键区别：在传统金融中，攻击成功后很少导致资金被彻底盗走，账户冻结、转账撤销和机构干预均可发挥作用。而在 Web3 中，协议资金可直接在链上被抽走，一旦交易确认，便无法逆转。

这正是 Web3 成为诱人目标的原因。

追回率持续下降，损失不可逆转

DeFi 协议黑客攻击每年造成数十亿美元损失，但被盗资金实际追回的比例却持续下滑。随着朝鲜 Lazarus Group 等国家支持的攻击者出现，以及通过混币器和跨链桥进行日益复杂的洗钱，资金追回变得越来越困难。

如果被盗资金能够追回，至少还能维持最低的安全标准，但 DeFi 的追回率始终停留在极低水平。

自 2020 年以来，年度平均追回率一直低于 10%。2021 年 Poly Network 被黑 6.11 亿美元是唯一例外——攻击者主动全额归还资金，才使当年数据大幅提升。除去该事件后，每年的追回率均处于低位。

幸存者是拥有应对能力的玩家

并非所有 Web3 项目在遭受黑客攻击后都会崩溃。与 DeFi 项目通常一次攻击就崩盘不同，有些玩家成功挺过了打击。

2025 年，Bybit 在遭受 15 亿美元黑客攻击后成功存活。跨交易所协调以及足以覆盖损失的储备资金发挥了关键作用。虽然并非所有被盗资金都已追回，但交易所得以继续运营且未让投资者遭受损失，这才是重点。交易所普遍设有独立的 SAFU 基金，用于应对黑客攻击和其他突发事件。

DeFi 项目则没有这样的缓冲空间。一旦交易完成，协议资产即告消失，没有回旋余地。最现实的追回路径是与攻击者谈判，但攻击者几乎没有谈判意愿。对于 Lazarus 等国家支持的团体，谈判更是完全不可能。

传统金融会在攻击发生后引入机构力量，账户冻结、调查、保险和法律索赔会依次展开。Web3 中没有任何权威机构能够逆转已确认的交易。项目偶尔会请求链层面干预来冻结资产，但冻结并不等于归还。

核心限制依然存在：在 Web3 中，一旦出错，就无法撤销。

在机构时代如何说服机构

我们正处于机构时代。无论是否接受，机构都在主导市场方向，这一趋势不可逆转。

如果黑客攻击持续发生、项目不断崩盘，Web3 将拿不出任何东西提供给机构。机构对区块链和 DeFi 的兴趣已经很高。资产管理的运营效率、新型收益结构以及 7×24 小时市场，都是极具吸引力的特点。

但如果项目持续被黑并走向破裂，再诱人的效率提升和收益结构都将失去意义。无论技术优势多么显著，底层资产必须安全。低于 10% 的追回率，仍然是机构投资者选择观望的最大原因之一。

一旦机构资本真正进入，市场规模将远超当前水平。打开这扇大门的不是技术优势，而是一个值得信赖的应对框架。行业能否在捍卫去中心化的同时成功说服机构，将决定 Web3 能否迈向下一个阶段。

Web3 现在需要的不是哲学，而是为失败而设计的结构，以及建立在问责制基础上的运营机制。