文章总结： 慢雾CISO23pds在Web3领袖项目公开课中以《信任的代价》为题，系统梳理加密资产从小众实验到369亿美元损失黑暗森林的演变，拆解热点跟踪、高仿身份、高收益诱饵、首尾地址混淆等模块化钓鱼链路，提出零信任+持续验证双原则，强调克制冲动、自我验证才是穿越不可逆交易世界的核心能力。 综合评分： 87 文章分类： 区块链安全,威胁情报,安全意识,漏洞分析,实战经验

慢雾 CISO 23pds 受邀参与「Web3 领袖项目」公开课分享

慢雾安全团队

慢雾科技

2026年1月4日 18:48 中国香港

****1 月 2 日至 1 月 4 日，由全球金融科技学院(GFI) 联合 HashKey Group 、前沿科技研究院(FTI) 推出的 Web3 领袖项目（二期班） 在香港顺利举行。1 月 3 日，慢雾(SlowMist) CISO 23pds 受邀参与公开课分享，与来自传统金融、区块链及前沿科技领域的多位嘉宾和学员，围绕 Web3 发展过程中的安全挑战与风险治理问题展开深入交流。

在本次公开课上，23pds 以《信任的代价：加密货币安全的前世与今生》为主题，结合多年区块链安全研究和真实案件处置经验，系统梳理了 Web3 安全问题的演变过程，并从攻击者与用户两个视角分析了信任为何在加密世界中频繁被滥用，以及行业参与者应该如何建立长期、可持续的安全意识。

**## Web3 为何成为“黑暗森林”？

分享开篇，23pds 从加密货币的发展历程切入，通过早期“1 万枚 BTC 换披萨”等标志性事件，回顾了加密资产从小众技术实验逐渐演变为高价值金融资产的过程。他指出，随着价格与市场规模的持续放大，加密资产逐渐成为攻击者高度关注的目标。根据慢雾(SlowMist) 区块链被黑事件档案库(https://hacked.slowmist.io/) 的数据显示，截至 2025 年 12 月 30 日，全球累计发生 1990 起区块链黑客攻击事件，造成约 369.27 亿美元的损失。其中，ETH 生态、BSC 生态成为被攻击的重灾区；合约漏洞造成的攻击事件最多，达 339 起，钓鱼攻击虽位列第九，但危害同样显著。这些数据直观地展现了加密资产所面临的巨大安全挑战。

**

以 Mt.Gox（门头沟）事件为例，23pds 提醒道：“当信任被技术系统承载、却缺乏成熟的安全治理机制时，一次失误往往会引发持续多年的连锁反应。”

在他看来，Web3 的风险并非源于某一次偶发事故，而是由高价值、高流动性、去中心化以及交易不可逆等特性共同造成的结果。在一个身份难以验证、规则极易被伪装的环境中，任何一次判断失误，都可能被迅速捕捉并放大，这正是 Web3 被称为“黑暗森林”的根本原因。

**### 拆解钓鱼攻击链条

围绕 Web3 生态中最为高发的钓鱼攻击，23pds 在分享中对其完整链条进行了系统拆解。他指出，一次成熟的钓鱼攻击，往往并非单点行为，而是一套高度模块化、可复用的“工业流程”，通常包括：

• 热点项目筛选与长期跟踪
• 身份、渠道与基础设施的高度仿真
• 具备“高收益想象空间”的诱饵设计
• 通过社交媒体、搜索引擎、私信等方式精准投放
• 在授权、签名或安装程序等关键节点完成攻击
• 事后清除痕迹并混淆资金流向

23pds 特别列举了几种经典钓鱼手法：

• 仿冒官方身份的域名与社交账号钓鱼：攻击者通过注册高度相似的域名、复制官网页面结构，或伪装成项目方官方 X、Telegram、Discord 账号，制造“看起来一模一样”的官方环境。在用户缺乏二次验证的情况下，极易在空投领取、钱包连接或签名操作中误入钓鱼页面。
• 私信钓鱼与“官方联系”话术：攻击者往往以“官方管理员”“项目支持人员”“社区负责人”等身份，通过私信主动联系用户，借助“账户异常”“资格确认”“内测邀请”等理由，引导用户点击链接或进行授权操作。这类攻击充分利用了用户对权威身份的信任，以及对“错过机会”的心理焦虑。
• 假空投、假白名单与高收益诱饵钓鱼：攻击者会围绕市场热点项目，设计看似合理的空投活动或白名单任务，要求用户完成一系列“正常操作”，例如连接钱包、签名验证、授权合约等。整个过程往往不涉及明显异常，但最终却在授权阶段埋下资产被转移的风险。
• 首尾地址相似钓鱼：攻击者通过生成与目标地址首尾字符高度相似的钱包地址，在用户进行转账操作时制造视觉混淆，诱导用户将资产误转至攻击者地址。这类攻击往往不依赖任何技术漏洞，而完全建立在用户对细节疏忽的基础之上。

23pds 强调，这些手法的本质都是“心理战”——攻击者利用用户对收益的渴望与对风险的低估，而非依赖高深技术漏洞。防御的核心，不仅是技术手段，更在于提升认知、养成自我验证的习惯。

Web3 安全防御原则

结合慢雾多年积累的研究与实战经验，23pds 指出，完善的技术工具体系是 Web3 安全的重要基础。在实际工作中，慢雾通过覆盖资金追踪、威胁监测与事件响应的安全能力体系，协助还原攻击路径、识别高风险行为，并在安全事件发生前后提供预警与支持，尽可能降低风险扩散带来的影响。但他同时强调，仅依赖工具并不足以构成真正稳固的安全防线。大量安全事件表明，问题往往并非出在“没有工具”，而是在关键决策时对风险的低估与对信任的默认。

基于此，他讲到了两项相互支撑的基本原则：零信任与持续验证。零信任并非否定一切，而是在未经验证前不轻易建立信任；持续验证则是一种长期习惯——在每一次授权、签名或安装程序前，主动追问“我为什么相信这件事”。在他看来，真正危险的并不是“不懂安全”，而是在面对看似合理的机会时，默认自己“这一次应该没问题”。安全防御的目标并非追求绝对安全，而是持续降低在关键操作中做出错误判断的概率。此外，他建议 Web3 从业者和用户可以熟读《区块链黑暗森林自救手册》，通过系统学习典型攻击案例、认知陷阱与防御策略，进一步强化风险意识和应对能力。

总结**

****在分享的最后，23pds 总结道：“Web3 的自由、高效与去中心化，必然伴随着更高的个人责任。在一个交易不可逆、责任高度个人化的系统中，信任一旦给错，代价往往需要个人承担。”他指出，Web3 安全不是一次性的知识积累，而是一场长期认知训练。看住自己的判断边界，克制对“好机会”的冲动，才是真正穿行这片“黑暗森林”的能力。

此次分享不仅帮助「Web3 领袖项目（二期班）」学员全面理解了区块链安全的攻防格局，也展现了慢雾(SlowMist) 在区块链安全领域积累的丰富经验与深刻洞察，学员们普遍反馈收获颇丰，对 Web3 安全的风险演进、攻击手法及防御策略有了更清晰和全面的认知。****

往期回顾

慢雾出品 | 2025 区块链安全与反洗钱年度报告

慢雾 Q4 追踪实录：协助被盗客户冻结/追回百万美元资金

圣诞劫 | Trust Wallet 扩展钱包被黑分析

慢雾：去中心化永续合约安全审计指南

从入选到落地：MistTrack 在香港数码港区块链与数字资产试点计划中的实践与成果

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾 GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

知识星球

https://t.zsxq.com/Q3zNvvF

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：慢雾科技 慢雾安全团队《慢雾 CISO 23pds 受邀参与「Web3 领袖项目」公开课分享》