撰文：Rick Maeda

编译：Golem

一个事实是，大多数加密用户并非通过复杂的漏洞被黑，而是通过点击、签名或信任错误的事物而遭受攻击，本报告将详细分析这些日常发生在用户身边的安全攻击。

从钓鱼工具包和钱包窃取工具到恶意软件和虚假客服诈骗，加密行业大多数攻击都是直接针对用户而非协议，这使得常见的攻击集中在人为因素而非代码层面。

因此本报告概述了针对个人用户的加密货币漏洞，不仅涵盖一系列常见漏洞，还有实际案例解析和用户日常需要警惕的事项。

加密货币在设计上具有自托管的特性。但这种基础属性和核心行业价值观却常常会让你（用户）成为单点故障。在许多个人加密货币资金损失的案例中，问题并非是协议漏洞，而是一次点击、一条私信、一次签名。一个看似无关紧要的日常任务，一时的信任或疏忽，都有可能改变一个人的加密货币体验。

因此，本报告不针对智能合约逻辑问题，而是针对个人的威胁模型，剖析用户在实践中如何被利用，以及如何应对。报告将重点关注个人层面的漏洞攻击：网络钓鱼、钱包授权、社会工程学、恶意软件。报告最后还将简要介绍协议层面的风险，以概述加密货币领域中可能发生的各种漏洞利用。

在无需许可的环境中发生的交易具有永久性和不可逆性，通常没有中介机构的介入，再加上个人用户需要在持有金融资产的设备和浏览器上与匿名交易对手进行交互，这使得加密货币成为黑客和其他犯罪分子馋涎的狩猎场。

以下是个人可能面临的各种漏洞攻击类型，但读者应注意，虽然本节涵盖了大多数漏洞攻击类型，但也并非详尽无遗。对于不熟悉加密货币的人来说，这份漏洞攻击列表可能令人眼花缭乱，但其中很大一部分都是互联网时代已经发生过的「常规」漏洞攻击，并非加密货币行业独有。

依靠心理操纵来欺骗用户，使其危及个人安全的攻击。

• 网络钓鱼：虚假电子邮件、消息或网站模仿真实平台窃取凭证或助记词。

• 冒充诈骗：攻击者冒充 KOL、项目负责人或客服人员，以获取信任并窃取资金或敏感信息。

• 助记词诈骗：用户被诱骗通过虚假的恢复工具或赠品泄露恢复助记词。

• 虚假空投：用免费代币诱骗用户，引发不安全的钱包交互或私钥共享。

• 虚假工作机会：伪装成就业机会，但旨在安装恶意软件或窃取敏感数据。

• 拉高出货骗局：通过社交媒体炒作，向毫无戒心的散户投资者抛售代币。