不止于私钥:从钱包、L2 到供应链,如何守护 Web3 的安全边界?
imToken 特邀专栏作者 2026-07-09 10:35 本文约4198字,阅读全文需要约6分钟 当安全风险从一个点扩展为一条链,用户的防御,也必须从保护好私钥,升级成一套完整的习惯。
AI总结 展开 核心观点: 6月加密领域安全事件频发,共40起攻击导致7587万美元损失,风险从单一的私钥泄露扩展至钱包签名实现、L2协议漏洞及第三方供应链攻击等多个环节,用户需要将安全策略从保护私钥升级为保护整条链上交互路径。
关键要素: 6月共发生40起重大黑客攻击,总损失7587万美元,攻击路径覆盖钱包、L2协议和第三方服务,呈现多样化趋势。
Cardano生态钱包SecondFi因底层签名实现缺陷(nonce推导错误),导致攻击者无需助记词即可从链上公开数据推导私钥,约1600万枚ADA(约240万美元)被盗。
Aztec两个旧版Rollup部署遭攻击,损失约435万美元,暴露出L2系统中交易数据不一致和零知识证明电路约束缺失等结构性漏洞。
Taiko因SGX签名私钥曾公开且链上验证未拒绝DEBUG模式,导致攻击者伪造L2状态证明,从桥接资金中窃取约170万美元。
Polymarket因第三方供应商被入侵,前端加载恶意脚本,造成约300万美元用户资产损失,显示供应链攻击可直接绕过智能合约本身的安全审计。
Base主网因区块构建逻辑缺陷连续两次出块停滞,虽未造成资产损失,但凸显L2网络可用性本身也是安全模型的重要组成部分。
刚刚过去的 6 月,加密世界经历了一轮横跨多个环节的安全事件。
PeckShield 最新发布的月度安全报告显示,6 月共发生 40 起重大黑客攻击事件,总损失高达 7587 万美元,更值得警惕的是,这些攻击并没有集中在某一种攻击路径上,反而 覆盖了钱包签名实现缺陷、L2 协议漏洞、第三方服务供应链攻击,多条防线在同一个月份内相继失守。
当 Web3 安全风险从单一入口扩展到整条链上交互路径,每一位用户都不得不重新思考一个问题:我的 Crypto 资产,究竟还安全么?
一、私钥之外,钱包底层签名实现的重要性 6 月发生在 Cardano 生态钱包 SecondFi 上的安全事件,是最直观的例子。
SecondFi 的前身是 Cardano 生态钱包 Yoroi。6 月 21 日至 23 日,攻击者从部分 SecondFi 用户地址中转走约 1600 万枚 ADA,涉及约 374 个钱包,按照事发时价格计算约为 240 万美元。SecondFi 随后表示,通过紧急措施另外保护了约 1.29 亿枚可能受到影响的 ADA。
这起事件最特殊的地方在于, 受影响用户并没有主动把助记词交给攻击者,问题出在钱包底层的签名实现, 按照安全机构 BlockSec 的分析,错误地从公开交易消息中推导签名 nonce,遗漏了标准实现所要求的秘密 nonce prefix。
这就使得 每当用户使用受影响版本的钱包签署交易时,发布到链上的公开签名数据,都会暴露足以推导地址私钥的信息, 因此攻击者不需要入侵用户手机,也不需要获得助记词,只需要分析公开的链上数据,就可能恢复对应地址的签名私钥。
从用户的角度看,钱包仍然在正常运行,毕竟助记词没有弹窗泄露,密码没有被破解,交易也确实由本人发起,但从密码学层面看,只要用户地址通过受影响版本产生过一些有效签名,公开的交易与签名数据就可能帮助攻击者推导出该地址的签名私钥。
说到底,钱包安全还要看是否正确生成私钥、是否严格按照密码学标准完成签名,以及这些关键代码能否被外部审查和验证,这也是核心钱包组件保持开源的重要性所在。
当然,这是特定钱包特定版本的实现缺陷,不是所有自托管钱包的普遍问题。以 imToken 的 TokenCore 为例,其核心代码仓库公开托管在 GitHub,覆盖密钥管理、地址派生和交易签名等底层钱包功能。
虽然开源并不意味着代码一定不存在漏洞,更不意味着用户可以完全放弃警惕,但 对于钱包中最敏感的密码学和签名组件,开源至少提供了一个重要前提,那就是安全研究人员、开发者和社区可以检查代码、复现问题并持续测试,而不是只能相信一个无法验证的黑盒。
对于普通用户而言,这类事件也对应着几条更现实的安全原则。
首先,钱包应当始终通过官方网站或官方应用商店下载,并及时更新安全版本; 其次,不宜把所有资产都放在同一个日常交互钱包中,大额长期资产可以使用硬件钱包或独立冷钱包保存,与经常连接 DApp 的热钱包隔离。
更重要的是,一旦钱包官方确认出现密钥生成或签名实现层面的漏洞,仅仅把原来的助记词导入另一个钱包,通常并不能解决问题; 因为将同一组助记词导入其他钱包后,原来已经暴露的地址和私钥并不会发生变化。受影响资产需要转移至一个从未通过漏洞版本签名的新地址;对普通用户来说,更稳妥的做法通常是按照官方应急流程重新创建一组全新的钱包和助记词,再完成资产迁移,而不是自行反复导入或操作原有地址。
二、L2 不只是「更便宜的以太坊」,也是一整套复杂的信任链 除了钱包,6 月的多起事件还将风险指向了越来越复杂的 L2 系统。
6 月 14 日和 18 日,两个与 Aztec 相关的旧版 Rollup 部署先后遭到攻击,合计损失约 435 万美元。
需要特别说明的是,遭到攻击的是已经进入遗留状态的 Aztec Connect 等旧版部署,并不等同于当前 Aztec Network 主网本身遭到攻击,但两起事件暴露的问题,对整个 ZK Rollup 领域都颇具警示意义。
在其中一起事件中,攻击者利用交易数量与实际处理数据之间的不一致,让系统在证明内部记入了一笔存款,却绕过了 L1 上对应的余额扣减流程。
路中的约束缺失,系统验证了一份形式上有效的证明,却没有确保该证明使用的私有状态树,与以太坊上真正用于结算的公开状态根完全一致,攻击者因此可以围绕一棵伪造的状态树生成证明,并从 L1 合约中提取资产。
这类问题很难用传统的「合约是否存在某一行漏洞代码」来概括。毕竟零知识证明可以证明某个计算过程符合既定规则,但前提是规则本身正确而完整,如果开发者忘记约束某个关键变量,证明仍然可能在数学上有效,却证明了一个与真实结算状态并不一致的结果。
Taiko 随后发生的安全事件,则暴露了另一种 L2 信任链风险。