加密貨幣駭客攻擊次數下降，但供應鏈攻擊正重塑威脅格局

近年來，針對加密貨幣平台的直接駭客攻擊事件數量呈現下降趨勢，這看似是資安環境改善的正面訊號。然而，資安專家警告，攻擊者正轉向更隱蔽、影響範圍更廣的供應鏈攻擊（Supply Chain Attacks），藉此繞過傳統防禦機制，對整個區塊鏈生態系構成新一輪威脅。

直接攻擊減少：表面平靜下的暗流

根據多家區塊鏈安全公司（如 Chainalysis 與 CipherTrace）的年度報告，2023 年針對交易所與錢包的直接竊取事件較前幾年明顯減少。這主要歸功於多重簽名機制、冷儲存普及，以及監管壓力促使業者強化內部控管。

• 2021 年加密貨幣盜竊總額超過 140 億美元
• 2023 年該數字降至約 18 億美元，降幅逾 85%
• 但同期「非直接」攻擊（如合約漏洞、第三方元件遭篡改）比例上升至總損失的 60% 以上

供應鏈攻擊：新型態的資安紅旗

供應鏈攻擊的核心在於利用信任關係。攻擊者滲透開發者常用的第三方套件、編譯工具或部署流程，在合法軟體中植入惡意程式碼。一旦使用者或協議整合這些被污染的元件，資金便可能在毫無警覺下被轉移。

常見攻擊載體

• NPM / PyPI 等套件管理平台：上傳名稱相近的惡意套件誘使開發者誤用
• 開源智能合約模板：在 GitHub 上散布帶有後門的 Solidity 範例
• CI/CD 工具配置漏洞：竊取部署私鑰或插入惡意腳本

典型案例：2023 年 WalletConnect 仿冒事件

攻擊者註冊與官方極其相似的網域名稱（如 walletconnect[.]io vs. walletconnect.org），並在社群媒體散播釣魚連結。許多 DApp 在未驗證來源的情況下整合該「偽 SDK」，導致用戶連接錢包時授權惡意合約，最終損失逾 3,000 萬美元。

防禦策略：從被動響應到主動驗證

面對日益複雜的供應鏈威脅，單靠防火牆或多重簽名已不足。業界正推動以下措施：

此外，去中心化身份驗證（DID）與零知識證明審計等新技術也被視為長期解決方案，可在不洩露原始碼的前提下驗證元件安全性。

常見問題解答

普通用戶如何避免成為供應鏈攻擊受害者？

務必確認 DApp 或錢包的官方網址與社群帳號；避免點擊不明連結；定期檢查已授權的智能合約並撤銷不用的權限。

開發者應優先檢查哪些第三方依賴？

重點審查處理私鑰、簽署交易或與錢包互動的套件（如 ethers.js、web3.py 的特定版本），並訂閱其安全公告頻道。

供應鏈攻擊是否只影響以太坊生態？

否。跨鏈橋、Solana 程式庫、Cosmos SDK 模組等皆曾出現類似案例，任何依賴外部程式碼的區塊鏈項目都面臨風險。

若發現使用的套件有安全疑慮，該怎麼辦？

立即停止部署；在專案中替換為經審計的替代方案；透過 Immunefi 或 HackerOne 等平台回報漏洞以協助修補。

是否有工具可自動偵測供應鏈風險？

有。例如 Slither（合約靜態分析）、Snyk（開源套件掃描）、以及 OpenZeppelin Defender 提供的合約監控功能，皆能提前警示潛在威脅。