# 區塊鏈風險總覽

> **最後更新：2026 年 1 月**

## 區塊鏈被譽為「不可竄改」，但這不代表它是無敵的。從 51% 攻擊到智能合約漏洞，從交易所被駭到社交工程詐騙——了解這些風險，是保護資產的第一步。

「區塊鏈很安全。」

這句話對，也不對。

**對的部分**：比特幣區塊鏈從 2009 年運作至今，從未被「駭」過。沒有人能憑空創造比特幣或竄改交易記錄。

**不對的部分**：圍繞區塊鏈的生態系統——交易所、錢包、智能合約、用戶本身——充滿了漏洞。

### 風險的兩大類型

| 類型        | 攻擊對象       | 例子           |
| --------- | ---------- | ------------ |
| **協議層風險** | 區塊鏈本身      | 51% 攻擊、雙重支付  |
| **應用層風險** | 建立在區塊鏈上的應用 | 智能合約漏洞、交易所被駭 |
| **人為風險**  | 用戶         | 釣魚、社交工程、私鑰洩露 |

大多數的損失發生在**應用層**和**人為風險**，而不是區塊鏈協議本身。

### 協議層攻擊

這些是針對區塊鏈共識機制的攻擊：

| 攻擊類型                                                         | 說明            | 防禦難度         |
| ------------------------------------------------------------ | ------------- | ------------ |
| [51% 攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/51-attack.md)     | 控制過半算力，可以雙重支付 | 對大型鏈幾乎不可能    |
| [雙重支付](/ren-shi-feng-xian-bao-hu-zi-chan/double-spending.md) | 同一筆錢花兩次       | 等待足夠確認數      |
| [女巫攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/sybil-attack.md)    | 一人偽裝成多人操控網路   | PoW/PoS 機制防範 |
| [DDoS 攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/ddos.md)         | 用大量交易堵塞網路     | 手續費機制防範      |

{% hint style="info" %}
比特幣和以太坊這樣的大型區塊鏈，協議層攻擊的成本極高（數十億美元級別），所以實際發生的機率很低。但小型幣種就不一樣了——很多都曾遭受過 51% 攻擊。
{% endhint %}

### 智能合約風險

智能合約是「程式碼即法律」——一旦部署就無法修改。

這意味著：**Bug 也是永久的。**

| 攻擊類型  | 說明          | 著名案例                       |
| ----- | ----------- | -------------------------- |
| 重入攻擊  | 在狀態更新前重複調用  | The DAO（2016，損失 6000 萬美元）  |
| 整數溢出  | 數字計算超出範圍    | 多起 ERC20 代幣漏洞              |
| 權限漏洞  | 任何人都能調用敏感函數 | Parity 錢包（2017，凍結 1.5 億美元） |
| 閃電貸攻擊 | 利用無抵押借款操縱市場 | 多起 DeFi 協議被攻擊              |
| 預言機操縱 | 餵假數據給智能合約   | 多起 DeFi 協議被攻擊              |

{% hint style="warning" %}
智能合約審計很重要，但審計通過不代表 100% 安全。很多被攻擊的協議都有審計報告。審計是降低風險，不是消除風險。
{% endhint %}

### 中心化風險

諷刺的是，很多「去中心化」系統的最大風險來自**中心化的部分**：

| 中心化點 | 風險           | 案例                  |
| ---- | ------------ | ------------------- |
| 交易所  | 駭客攻擊、內部盜竊、倒閉 | Mt.Gox、FTX          |
| 跨鏈橋  | 智能合約漏洞       | Ronin Bridge（6 億美元） |
| 項目團隊 | 跑路（Rug Pull） | 無數小型項目              |
| 私鑰託管 | 單點故障         | 交易所熱錢包被駭            |

### 人為風險（社交工程）

最常見的損失來自**用戶自己的錯誤**：

| 風險類型    | 說明          | 詳細文章                                                            |
| ------- | ----------- | --------------------------------------------------------------- |
| 釣魚網站    | 假網站騙取私鑰/助記詞 | [釣魚攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/scams/phishing.md)     |
| 假空投     | 領空投結果授權惡意合約 | [空投詐騙](/ren-shi-feng-xian-bao-hu-zi-chan/scams/airdrop-scam.md) |
| 假客服     | 冒充官方騙取資訊    | [詐騙總覽](/ren-shi-feng-xian-bao-hu-zi-chan/scams.md)              |
| FOMO 投資 | 被炒作沖昏頭腦     | [龐氏騙局](/ren-shi-feng-xian-bao-hu-zi-chan/scams/ponzi.md)        |

### 如何保護自己？

#### 基礎防護

* [ ] 使用硬體錢包存放大額資產
* [ ] 永遠不要把助記詞存在連網設備
* [ ] 開啟交易所的 2FA（優先使用硬體金鑰）
* [ ] 定期檢查並撤銷不需要的代幣授權

#### 進階防護

* [ ] 使用專用設備進行加密貨幣操作
* [ ] 大額轉帳先小額測試
* [ ] 了解你使用的每個 DeFi 協議的風險
* [ ] 分散資產在不同平台和錢包

#### 心理防護

* [ ] 警惕「穩賺不賠」的承諾
* [ ] 不要因為 FOMO 做決定
* [ ] 保持健康的懷疑態度
* [ ] 記住：如果聽起來太好，通常就是假的

### 歷史上的重大安全事件

| 年份   | 事件            | 損失       | 類型     |
| ---- | ------------- | -------- | ------ |
| 2014 | Mt.Gox 破產     | 85 萬 BTC | 交易所    |
| 2016 | The DAO 攻擊    | 6000 萬美元 | 智能合約   |
| 2018 | Coincheck 被駭  | 5.3 億美元  | 交易所    |
| 2022 | Ronin Bridge  | 6 億美元    | 跨鏈橋    |
| 2022 | FTX 倒閉        | 80 億美元+  | 交易所詐騙  |
| 2022 | Terra/Luna 崩盤 | 400 億美元+ | 系統設計缺陷 |

### 「Not Your Keys, Not Your Coins」

區塊鏈安全的核心原則：

**你不持有私鑰，就不真正擁有那些幣。**

當你把幣放在交易所時：

* 交易所可能被駭
* 交易所可能跑路
* 交易所可能凍結你的帳戶
* 交易所可能倒閉

只有當你**自己持有私鑰**時，你才真正掌控你的資產。

{% hint style="danger" %}
FTX 倒閉時，數百萬用戶的資產被凍結。如果他們把幣存在自己的錢包，就不會有這個問題。「Not your keys, not your coins」不只是口號，而是血淋淋的教訓。
{% endhint %}

### 安全是持續的過程

區塊鏈安全不是「設定一次就好」的事情。

**你需要：**

1. 持續學習新的攻擊手法
2. 定期審查自己的安全措施
3. 關注你使用的協議/平台的安全公告
4. 保持警覺，不要放鬆

{% hint style="success" %}
區塊鏈給了我們前所未有的金融自主權——但這也意味著前所未有的個人責任。沒有銀行會幫你追回被騙的錢，沒有客服會幫你找回遺失的私鑰。在這個世界裡，你是自己資產的唯一守護者。
{% endhint %}

***

#### 本章節目錄

* [51% 攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/51-attack.md)
* [雙重支付](/ren-shi-feng-xian-bao-hu-zi-chan/double-spending.md)
* [女巫攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/sybil-attack.md)
* [DDoS 攻擊](/ren-shi-feng-xian-bao-hu-zi-chan/ddos.md)

#### 相關條目

* [詐騙手法總覽](/ren-shi-feng-xian-bao-hu-zi-chan/scams.md)
* [冷錢包](/qian-bao-lei-xing/cold-wallet.md)
* [錢包安全](/bao-guan-ni-de-jia-mi-zi-chan/wallet.md)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://www.0x1.academy/ren-shi-feng-xian-bao-hu-zi-chan/blockchain-security.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.