“代码易防，人心难守”……Tiger Research揭示社交工程攻击成Web3安全核心隐患

2026年Web3黑客攻击再度成为市场核心风险

Tiger Research近期报告分析指出，仅4月就发生了12起黑客攻击事件，其中针对人员的“社会工程学”攻击在2026年**季度造成的损失占比高达74.7%。报告认为，与利用代码漏洞相比，针对拥有权限人员的攻击方式已成为更有效的攻击手段，这暴**Web3产业的结构性脆弱性。

报告指出，当前的趋势并非个别事件的简单重复。连接波卡与以太坊的跨链桥协议HyperBridge曾发生验证缺失导致**请求通过的事件，造成以太坊链上近10亿桥接**被非法增发。尽管公布的损失金额为250万美元，但实际损失可能更大。此前，Drift Protocol也曾遭遇2.957亿美元的黑客攻击。该事件被归类为一例精心策划的社会工程学攻击，攻击者通过长期建立信任关系后窃取了治理权限。

这种攻击方式的变化在数据上也得到印证。根据Tiger Research数据，社会工程学攻击在黑客损失总额中的占比从2021年的28.7%上升至2025年的64.3%，并在2026年**季度达到74.7%。相反，直接针对代码漏洞的攻击相对比重正在下降。这意味着，尽管区块链行业一直以代码开源和链上透明度为优势，但攻击者实际上将“人”视为比系统更易突破的入口。

这与传统产业的网络安全趋势相符。正如有外部统计显示2025年传统企业黑客攻击案例中70%基于社会工程学，Web3领域也正受到相同攻击模式的影响。不同之处在于事件发生后的应对机制。传统金融领域可通过账户冻结、交易撤销、执法机构介入以及保险和法律赔偿程序进行补救，而在Web3中，交易一旦完成，资金便瞬间在链上转移，几乎不可逆转。这也使得Web3在攻击者眼中成为更具吸引力的目标。

问题在于，资金追回的可能性极低。报告指出，2020年以来，DeFi黑客攻击造成的资金年平均追回率低于10%。除了2021年Poly Network攻击事件中攻击者主动归还6.11亿美元这一特例外，大多数事件的实际资金恢复极为有限。此外，随着如朝鲜Lazarus Group等**级组织，以及利用混币器和跨链桥进行**的手法日益复杂化，资金追踪与追回变得愈发困难。

即使遭遇黑客攻击，能否存活也取决于项目自身的结构。典型案例是2025年Bybit在遭遇15亿美元规模的黑客攻击后，凭借交易所间的协作与充足的准备金，得以在未损害投资者利益的情况下继续运营。**化交易所通常设有诸如SAFU基金等专门的应急机制。相比之下，DeFi项目在资产被窃的瞬间，其应对选择将急剧减少。虽然与攻击者谈判被视为一种现实选项，但对于有**背景的黑客组织，这种方式也难以奏效。

**，Web3黑客攻击已超越技术问题，演变为产业信任问题。尽管机构投资者肯定区块链与DeFi在资产运营效率、新收益模式和24小时运营市场方面的优势，但反复发生的黑客攻击与低追回率，成为阻碍他们大规模进入的核心壁垒。市场参与者很难仅凭“去**化”的理念就愿意承担如此高的风险。

Tiger Research判断，Web3产业若要迈向下一阶段，仅靠技术优势是不够的。在黑客攻击反复发生、追回率不足10%的现实下，必须首先建立以事故为前提的应对机制与负责任的运营体系。行业未来发展的关键，在于能否将Web3黑客攻击不再视为偶发事件而是常态风险，并构建起既能保护投资者又能赢得机构信任的安全保障体系。