Web3 正在损失数十亿，仍称欺诈为"用户错误" | 观点

根据Hacken的2025年上半年安全报告，仅在2025年上半年，web3行业就因黑客攻击、诈骗和漏洞利用损失了超过31亿美元。近6亿美元（几乎每五美元中就有一美元）被钓鱼和社会工程攻击所窃取。

而且这个问题并没有减缓。仅在2025年8月，钓鱼诈骗就从web3用户那里窃取了超过1270万美元：不是通过复杂的漏洞利用，而是通过简单的欺骗。虚假链接、伪造网站和恶意dApp继续超越用户的防御能力。

然而尽管如此，行业仍将注意力集中在其他地方。高调的协议黑客攻击占据了头条，而钓鱼攻击占所有损失近五分之一，却被悄然视为常态。这是最大的风险，却没有人愿意承担责任。这是一个残酷的事实：钓鱼不是一个次要问题。除非我们停止将其视为"用户错误"，开始将其视为金融欺诈，否则我们正在积极破坏自己的未来。

钓鱼不是用户问题，而是基础设施失败

在传统金融中，欺诈预防已内置于基础设施中。银行自动监控异常行为，可以暂停交易，并通常通过实时警报默认保护用户。如果出现问题，有一套流程：欺诈部门调查，保险介入，消费者通常会获得赔偿。

在美国，E条例确保消费者在及时报告的情况下不对未授权的电子转账负责。即使是Zelle这样的点对点支付平台，也受到监管机构和银行的压力，要求其赔偿欺诈受害者。

关键是，用户关心的不是他们的银行是否有完美的安全系统——而是他们永远不会被迫承担损失。保险，几乎即时的赔偿和无需质疑，才是真正的安全网。安全使其成为可能，但保险才是让人们信任系统的关键。

相比之下，Web3让用户自行应对。点击错误的链接，签署恶意交易，行业只会耸耸肩：这是你的错。这种心态既不公平也不可持续。当每天都发生数百万美元的诈骗时，这不是运气问题——而是基础设施的崩溃。零售用户不应该需要成为网络安全专家才能参与金融系统。他们只需要知道系统会保护他们。

行业对"事后分析"的痴迷

Web3安全讨论总是事后诸葛亮。智能合约审计、事件报告和"永不再犯"的声明主导了讨论——但这些都是在损失发生后才出现。审计无法阻止钓鱼邮件。事后分析无法保护钱包。实时预防是缺失的。

我们需要的是能够在交易发生时监控交易，实时分析行为，并在钱包层面自动保护用户的系统。这些工具以各种形式存在——交易意图预览、恶意合约警告、钱包级别的安全保障——但采用是分散的，保护仍然是可选的而非标准。

行业必须使这些安全保障变得无形、自动和普遍。

为什么钓鱼正在扼杀采用

人们很容易认为钓鱼主要影响不成熟的零售用户。但这种心态正是阻碍web3发展的原因。

零售用户可以理解地不愿参与一个一次错误点击就可能清空资金的系统。机构不会向无法满足基本欺诈标准的市场投入资金。即使是大型交易所和托管机构也将安全风险视为机构进入的障碍。

钓鱼不仅仅是安全问题——它是采用的瓶颈。忽视它会破坏生态系统的未来。

传统金融展示了模式，web3应该引领

传统金融并不完美，但它理解欺诈是一种系统性威胁。可疑交易会被标记，用户会自动收到通知，并且有既定的调查和赔偿流程。这些是标准期望，而非可选功能。

令人沮丧的是，web3实际上拥有更好的可用工具。我们有可编程的基础设施。我们在链上有完全的透明度。我们有能力将实时分析构建到系统的核心。

然而，尽管如此，行业仍然落后于传统金融，而不是引领潮流。

将钓鱼视为欺诈是生存问题

主流采用和持续停滞之间的界限不在于更快的区块链——而在于信任。目前，用户感到不安全。

除非将钓鱼视为金融欺诈，否则损失将继续。实时检测必须内置于交易层。钱包保护必须是主动的，而非被动的。用户必须知道系统本身正在保护他们。

欺诈预防不是最终目标——无忧的用户体验才是。安全是使能者，但保险是承诺：无论发生什么，用户都不会遭受毁灭性损失的保证。这是采用的基础。

前进的道路

审计、教育和责备用户无法解决这个问题。我们必须通过设计来解决。欺诈检测和保护需要直接构建到基础设施中。这些系统应该自动工作，在幕后运行，不需要用户意识。毕竟，银行客户不需要阅读代码来验证交易。Web3用户也不应该需要这样做。

web3未来的决定性问题很简单：用户是否相信他们的资金是安全的？目前，答案是否定的。钓鱼不是脚注——它是头条；是时候行业这样对待它了。

Alex Katz

Alex Katz 是Kerberus的首席执行官。Alex凭借多年指导全球营销计划和扩展国际团队的经验带来了运营纪律。他在金融市场和数字增长方面的背景为Kerberus的战略发展提供了指导，确保我们的安全解决方案满足企业标准，同时对个人用户保持可访问性。