尽管自2022年以来代码审计数量增加了两倍，但加密行业仍持续遭受重大损失，包括朝鲜Lazarus Group在内的恶意行为者已窃取超过22亿美元。Oak Security的研究表明，大多数成功的攻击针对人为因素，如私钥泄露、治理操纵、内部人员破坏和运营故障，这些完全绕过了传统审计所保护的攻击面。审计重点与实际攻击手段之间的不匹配意味着，尽管代码质量有所提高，但财务损失仍然居高不下。文章认为，仅靠审计会造成危险的安全假象，因为审计只是对特定代码库在特定时间点的有限评估。为解决这一问题，行业必须采取纵深防御策略，将强大的代码审查与强化的运营安全、密钥管理、治理约束和实时监控相结合。作者强调，加密项目是具有人为攻击面的活组织，安全必须跟上攻击者的复杂程度。

关键事实

• 自2022年以来恶意行为者窃取超22亿美元，Lazarus Group是主要攻击者。
• 审计数量增加两倍但损失未显著减少。
• 主要攻击绕过代码审计，针对人为和运营因素。
• 私钥、治理和基础设施攻击造成最大损失。
• 行业需要超越审计的纵深防御，包括密钥管理和监控。

KeyAudit 数据视角