什么是零日攻击？零日攻击是如何产生的？如何防范零日攻击？

2024年，谷歌记录到75起零日漏洞被恶意利用的案例，低于2023年的98起，但仍远高于2022年的63起。仅在加密货币市场，朝鲜的拉撒路组织（Lazarus Group）在2024年就通过47次攻击窃取了13.4亿美元，同比增长102%。2025年2月，Bybit遭遇的15亿美元黑客攻击打破了所有此前的记录。

显然，零日攻击已不再是遥远的概念。它们每天都在发生，并直接影响用户资产。本文将解释什么是零日攻击、其运作原理、加密货币历史上最大的损失案例，以及最重要的——如何降低风险。

一、什么是零日攻击？

零日攻击是一种网络攻击，攻击者在开发团队意识到软件或系统漏洞存在之前，就利用该漏洞发起攻击。“零日”一词意味着，当攻击者发现并利用漏洞时，开发人员实际上没有时间准备或部署修复程序。攻击发生在任何防御措施到位之前。

在加密货币领域，零日攻击可以针对基础设施的多个层面，包括钱包、交易所、智能合约、编译器、网页浏览器、移动操作系统，甚至区块链共识机制。任何软件运行的地方都存在零日漏洞的风险。

二、零日漏洞概念：攻击、漏洞与利用

围绕零日漏洞的概念，经常会出现三个密切相关的术语，每个术语都描述了同一问题的不同方面。

• 零日漏洞：指攻击者在开发人员意识到之前发现的软件缺陷。由于该漏洞尚未被内部识别，因此没有相应的补丁，使其极易被利用。
• 零日漏洞利用：指攻击者创建的用于直接利用现有零日漏洞的技术、工具或代码。
• 零日攻击：这是实际执行阶段，利用漏洞对包含零日漏洞的系统造成损害、获取未经授权的访问权限或窃取数据。

三、零日攻击是如何发生的？

零日攻击通常分为四个阶段。

阶段 1：漏洞存在但尚未被发现

当软件中已经存在安全漏洞，但开发团队尚未发现时，这个过程就开始了。由于没有发现漏洞或发布补丁，系统在悄无声息中继续正常运行。

第二阶段：攻击者发现并利用漏洞

在开发者意识到问题之前，攻击者就已经发现了漏洞并构建了利用该漏洞的攻击程序。攻击程序可以通过恶意软件注入、网络钓鱼、社会工程学或在受信任的网站或中间软件中植入恶意代码等方式传播。

第三阶段：攻击执行并造成伤害

一旦漏洞被触发，恶意代码就会激活，攻击随即开始。攻击者可能窃取数据、获取系统控制权、提取私钥、盗空钱包或篡改交易记录。如果没有补丁，损害往往会在采取缓解措施之前迅速蔓延。

第四阶段：开发人员发现问题，但来不及做准备。

只有当系统出现安全漏洞的迹象时，开发人员才会意识到漏洞的存在。此时，他们实际上只有“零日漏洞”的应对时间，需要在修复系统的同时积极限制持续的损害，而此时漏洞利用往往已经广泛传播。

四、零日攻击和一日攻击的区别

这两个概念听起来相似，但它们的风险等级却截然不同。关键区别在于一个核心问题：是否存在安全补丁？

• 零日攻击利用的是开发人员完全不知情的漏洞。这意味着在攻击发生时，既没有补丁，也没有安全公告，更没有任何具体的防御措施。攻击者拥有明显的优势，而受害者几乎没有任何准备或保护措施。
• 一日攻击，也称为n日攻击，是指漏洞已被公开披露且补丁程序已发布之后发生的攻击。攻击者利用用户或组织尚未应用更新的这段时间进行攻击。换句话说，解决方案已经存在，但尚未被实施。

乍一看，一日攻击似乎不如零日攻击危险。但实际上，一日攻击非常普遍，造成的损失也可能不相上下。主要原因很简单：许多个人和组织都会延迟软件更新。 

五、加密货币市场中的零日攻击示例

1、Bybit

这被广泛认为是历史上规模最大的加密货币黑客攻击事件。2025年2月21日，攻击者控制了Safe{Wallet}界面，这是Bybit用于管理冷钱包的多重签名工具。攻击者通过Safe开发者的机器向前端注入恶意JavaScript代码，使Bybit签名者看到一笔看似合法的交易。实际上，他们批准了一笔价值约15亿美元的401,347个以太币（ETH）的转账，转入了攻击者的钱包。

FBI证实，朝鲜的拉撒路黑客组织应对此负责。据Chainalysis的数据显示，仅Bybit此次事件造成的损失就超过了朝鲜黑客在2024年全年窃取的总金额。Bybit表示其拥有充足的储备金来弥补损失，并在三天内公布了储备金证明，同时启动了一项赏金计划，承诺将追回资产的10% （约1.4亿美元）作为奖励。

2、曲线金融

2023年7月30日，攻击者利用了Vyper编译器（一种用于以太坊智能合约的常用语言）中的一个零日漏洞，具体影响版本为0.2.15、0.2.16和0.3.0 。该漏洞源于重入锁实现错误，允许攻击者反复调用函数并在余额更新前盗取资金。

多个流动性池受到影响，包括损失1360 万美元的 Alchemix 、损失1140 万美元的JPEG'd、损失160 万美元的Metronome以及损失约2200 万美元的 CRV/ETH 池。最初估计损失为7350 万美元，但白帽黑客和 MEV 机器人抢先交易保护了资金，将实际损失减少到约5200 万美元。

值得注意的是，Curve Finance 的总锁定价值 (TVL) 在一天之内暴跌近 50%，从32.5 亿美元跌至17.2 亿美元。CRV 代币价格下跌约30%，几乎在 Aave 交易所引发清算级联，因为 Curve 的首席执行官有一笔近1 亿美元的贷款以 CRV 作抵押。

六、如何预防零日攻击

1、针对个人用户

• 软件补丁发布后应立即更新：这个简单的步骤常常被忽略。很多情况下，即使晚几周也足以成为受害者，例如 Lazarus 就是在大多数用户更新之前利用 Chrome 的零日漏洞进行攻击的。
• 使用硬件钱包：这是保护大额资产最重要的安全层。即使电脑感染了恶意软件，只要在设备屏幕上仔细核对交易详情，私钥在硬件设备上仍然安全无虞。
• 启用双因素身份验证 (2FA) 并避免重复使用密码：使用 Google Authenticator 或 Authy 等身份验证器应用比短信验证更安全。密码管理器有助于维护强密码和唯一密码。
• 定期备份数据并将助记词离线存储：助记词应保存在安全的地方，与联网设备完全隔离。

2、对于项目和组织

• 实施漏洞赏金计划：这些计划激励白帽黑客在恶意行为者之前发现漏洞。
• 持续监控：链上和链下监控工具可帮助检测异常情况，例如异常交易、不熟悉的 IP 访问或未经授权的代码更改。
• 应用人工智能和机器学习进行异常检测：现代安全解决方案分析行为模式，以识别零日攻击的早期信号。
• 分散基础设施依赖：依赖单一钱包提供商、编译器或区块链会增加系统性风险。Curve Finance 事件表明，编译器缺陷可能同时影响数百个协议。

七、概括

零日攻击不仅对加密货币领域，而且对整个科技行业来说，都是最严重的威胁之一。这些事件清楚地提醒我们，没有任何系统是绝对安全的。

随着零日漏洞利用速度加快（通常在漏洞披露后5 天内），以及人工智能代理越来越能够自主发现漏洞，攻击者和防御者之间的竞争只会愈演愈烈。

八、常见问题解答

Q1. 零日攻击与典型的加密货币黑客攻击有何不同？

零日攻击利用的是尚未公开且没有可用补丁的漏洞。这使得项目和用户无法及时做出反应，造成的损失往往比基于已知漏洞的攻击要大得多。

Q2. 为什么零日攻击会在加密货币领域造成特别大的损失？

加密系统完全依赖于软件和智能合约。一旦出现零日漏洞，攻击者可以直接攻击钱包、合约或核心基础设施，导致资产立即损失，且交易难以撤销。

Q3. 零日攻击是否总是针对智能合约？

不。加密货币领域的零日攻击可以针对浏览器、钱包、编译器、应用程序前端或内部基础设施。Bybit 和 Chrome 事件表明，漏洞并非仅限于智能合约。

Q4. 个人用户能否及早发现零日攻击？

大多数情况下，由于漏洞利用往往悄无声息地进行，因此早期检测极其困难。然而，异常网站、陌生的浏览器扩展、不明确的签名请求或紧急安全更新都是需要警惕的信号。

Q5. 漏洞赏金计划真的能降低加密货币项目的零日漏洞风险吗？

是的。漏洞赏金计划鼓励白帽黑客尽早披露漏洞，使团队能够在漏洞被实际利用之前进行修复。许多重大安全事件都通过这些计划得以避免。

Q6. 人工智能会使加密货币领域的零日攻击更危险还是更安全？

人工智能既带来风险，也带来防御。攻击者可以利用人工智能更快地发现漏洞，而项目方也可以利用人工智能检测异常行为，并更早地应对零日威胁。

Q7. 谁是零日攻击的幕后黑手？

许多重大案件都与有组织的黑客组织有关，包括朝鲜的拉撒路组织，但归因通常需要漫长的调查，而且并不总是得到公开证实。

以上就是什么是零日攻击？零日攻击是如何产生的？如何防范零日攻击？的详细内容，更多关于加密货币中零日攻击产生原因和防范的资料请关注脚本之家其它相关文章！