為什麼審計程式碼已經不夠了：加密貨幣被盜方式的結構性轉變

多年來，加密貨幣安全的主流敘事圍繞著智能合約展開：找到漏洞、修復程式碼、通過審計。合約沒問題，協議就安全。當大多數重大攻擊確實針對鏈上邏輯時，這套思路是合理的。但它已經無法描述現在大部分資金流失的方式了。

2025 年，基礎設施攻擊佔所有加密貨幣被盜資金的 76%，在 28.7 億美元的年度總損失中約為 22 億美元。這個趨勢延續到了 2026 年。2026 年第一季損失的 4.82 億美元中，光是釣魚與社會工程攻擊就佔了 3.06 億美元。其中一月份的一起事件，攻擊者透過長時間的社會工程操控硬體錢包簽署流程，單筆就造成了 2.82 億美元損失。

相較之下，智能合約漏洞在整個 2025 年造成的損失約為 3.5 億美元，分散在 52 起獨立事件中。它們發生頻率更高，但單次損失規模遠低於現在主導威脅格局的那類攻擊。

所謂基礎設施攻擊，涵蓋多種不同方式，但它們有一個共同特徵：漏洞不在區塊鏈程式碼裡，而在圍繞它運作的系統、人員與流程中。

私鑰與助記詞洩露是一種形式。員工設備透過釣魚郵件或假冒招聘感染惡意軟體，惡意程式進一步取得憑證或 session token。攻擊者再利用這些權限進入內部系統，找到環境變數或密鑰存放位置，最後轉移資金。智能合約完全照設計運作，所有審計也都通過。真正被攻破的，是持有權限的人。

前端入侵則是另一種形式。區塊鏈協議本身沒有問題，但使用者互動的網站已被修改。可能是主機供應商遭入侵、網域被劫持，或部署流程被篡改。使用者以為自己正在連接真實介面，實際上卻連進了一個提款器。2026 年 4 月的 CoW Swap 網域劫持就是典型案例。同月的 Vercel 事件，則讓這類風險被放大到更高層級，因為大量 Web3 前端都部署在 Vercel 上。

供應鏈入侵則是第三種形式。攻擊目標不是協議本身，而是開發與部署過程中使用的某個程式庫、依賴包或工具。2026 年 4 月，Axios npm 套件遭入侵，一個遠端存取木馬被推送到未知數量的開發者設備。任何在受影響期間使用該套件的項目，都可能在不知情的情況下暴露了自己的構建環境。

審計的設計目的，是檢查智能合約是否存在已知漏洞模式，確認鏈上邏輯是否按預期運作。它不會審查開發者是否使用安全設備，不會檢查環境變數存放方式，也不會評估團隊是否能辨識社會工程攻擊，更不會持續監控部署流程中的依賴是否遭到污染。

Resolv 接受了 18 次審計，這不是審計師失敗的故事，而是審計覆蓋範圍與現實攻擊位置之間出現錯位的故事。Venus Protocol 在遭攻擊前也有五家公司審查過程式碼，但攻擊利用的是一種早已公開記錄多年的 donation attack 模式。程式碼本身沒有錯，問題出在協議在特定外部條件下的互動方式，而那超出了審計通常假設的範圍。

在 2026 年第一季，擁有大量 TVL 與廣泛審計歷史的協議，平均損失甚至高於未審計的同類項目。成熟攻擊者會追逐價值集中之處。一個鎖倉數億美元、擁有完整審計紀錄的協議，可能比一個已知有程式碼問題的小型項目更具吸引力，尤其當它的營運安全沒有跟上程式碼安全的提升時。

對普通使用者而言，這些風險大多是不可見的。大部分人從來不閱讀智能合約，他們透過網站互動、連接錢包、批准交易。他們所依賴的安全模型，其實大量存在於界面層。

而這正是問題所在。一個看起來正常的網站，可能並不正常；一筆看似例行的交易，可能已被遭入侵的前端改變；一個通過多次審計的協議，也可能被完全繞過智能合約本身的攻擊所擊穿。

這不代表加密貨幣應用全面不安全，而是代表「安全」這件事，早已比一張審計證書複雜得多。攻擊面已經遠遠超出了程式碼審查能覆蓋的範圍。

理解這件事，不需要精通每一層技術。真正需要理解的是：你與區塊鏈之間的界面並不是中立的，而維護那個界面的人與基礎設施，本身就是安全模型的一部分。

大多數對駭客事件的報導，只聚焦於單一事件本身。但真正值得理解的，往往是事件背後反覆出現的模式。