近日,全球最大的Web3安全公司CertiK发布《Skynet 2026稳定币威胁报告》,系统梳理了当前稳定币生态面临的两大核心挑战:一方面,2026年以来跨链桥相关安全事件已造成超过3.28亿美元损失,攻击者正将目标从智能合约漏洞转向跨链桥、托管系统和支付基础设施;另一方面,俄罗斯卢布稳定币A7A5自上线以来累计交易额已超过1,100亿美元,正在成为规避国家级制裁的核心工具。
报告强调,这两大威胁相互交织,使得稳定币安全已脱离早期加密资产投机风险范畴,升级为与全球支付网络、跨境金融体系安全直接相关的系统性挑战。
从代码漏洞到基础设施攻击
过去几年,黑客攻击往往集中于智能合约漏洞。然而,随着稳定币逐渐成为跨链流动性和全球支付的重要载体,攻击者的目标也开始向更高价值、更关键的基础设施层转移。
报告显示,仅2026年以来,跨链桥相关安全事件已造成超过3.28亿美元损失。其中,4月发生的Kelp DAO钱包泄露事件单笔损失高达2.91亿美元,成为今年迄今规模最大的跨链桥相关事件之一。
CertiK报告认为,跨链桥和互操作性协议仍然是整个稳定币生态最脆弱的环节之一。由于稳定币流动性分散于不同区块链和Layer2网络之间,跨链桥承担着价值转移的核心职能,一旦验证节点、消息验证机制或多签系统出现问题,风险可能迅速扩散至多个生态系统。
值得注意的是,钱包泄露正在取代传统代码漏洞,成为主要攻击目标。
根据报告统计,今年多起重大DeFi安全事件均与私钥管理失效、访问控制缺陷以及运营层安全问题有关。攻击者越来越倾向于绕过复杂的链上逻辑,直接攻击托管系统、金库架构和运营流程。
“稳定币安全问题正在变得越来越像传统金融安全问题。”报告指出,随着稳定币深入支付体系和机构业务场景,KYC服务商、支付API、制裁筛查系统以及身份验证基础设施也开始成为攻击目标。
A7A5:规模超1,100亿美元的“抗制裁”经济体
相比技术攻击,报告更大的关注点来自于A7A5。
A7A5是一种由俄罗斯卢布支持的稳定币,于2025年初推出。报告称,该稳定币由俄罗斯跨境结算平台A7网络推动建设,并通过俄罗斯国有银行Promsvyazbank(PSB)等机构提供支持。
根据链上数据分析,自上线以来不到一年时间,A7A5累计链上交易额已超过1,100亿美元,占全球非美元稳定币市场约43%的份额。
报告认为,A7A5的重要性并不在于规模,而在于其展示了一种全新的稳定币模式——利用稳定币技术构建不受西方金融体系影响的跨境结算网络。
在2025年Garantex交易平台遭美国执法部门打击后,A7A5迅速成为俄罗斯加密经济的重要流动性工具。报告称,该系统在设计上借鉴了USDT模式,但将发行、储备管理和合规控制全部置于西方监管辖区之外。
报告指出,这意味着稳定币不再只是支付工具,也可能成为地缘政治与国际制裁体系中的重要变量。
稳定币正在进入“国家级博弈”阶段
A7A5的发展也引发了多国监管机构的联合行动。
报告显示,欧盟于2025年首次将A7A5直接纳入制裁框架,成为全球首个被明确列入交易禁令的加密货币。随后,美国财政部海外资产控制办公室(OFAC)和英国金融制裁执行办公室(OFSI)也相继对相关实体实施制裁。
与此同时,欧盟在2026年进一步扩大监管范围,从针对单一项目转向针对整个俄罗斯加密服务生态实施分类禁令。
然而,链上数据显示,这些措施并未从根本上阻止A7A5的发展。2025年2月至2026年5月期间,A7A5持币地址数量从约1.3万个增长至约2.9万个。在多个制裁节点前后,链上数据均未出现明显下滑。
报告指出,这反映出当前全球制裁体系在面对链上金融网络时仍然存在明显局限性。当用户群体主要位于西方执法影响范围之外时,传统制裁措施的实际效果可能被大幅削弱。
报告还提到,A7网络目前已开始向非洲市场扩张:俄罗斯已邀请多个非洲国家加入A7结算网络,并在尼日利亚、津巴布韦设立办事处,计划在非洲南部搭建金融走廊。如果相关网络进一步扩展,当地金融机构可能在不知情的情况下与受制裁体系产生业务往来,从而面临来自西方的潜在的二级制裁风险。
结论与行业合规建议
报告总结称,2026年的稳定币威胁格局已呈现“双重演化”特征:技术层面,攻击活动正从协议漏洞转向金融基础设施;地缘政治层面,稳定币开始被用于构建独立于传统金融体系之外的新型结算网络。
CertiK在报告最后建议,企业和金融机构不能再仅仅依赖核对官方制裁名单上的实体名称,而必须采取更为主动的防御姿态:
● 明确排查未列入名单的合约地址: 截至报告发布,OFAC尚未将A7A5的智能合约地址列入特别指定国民(SDN)制裁名单。金融机构应主动将以太坊地址(0x6fA0BE17e4beA2fCfA22ef89BF8ac9aab0AB0fc9)及波场地址(TLeVfrdym8RoJreJ23dAGyfJDygRtiWKBZ)录入内部筛查系统。
● 重新评估高风险代理行敞口: 在尼日利亚、津巴布韦、吉尔吉斯斯坦等A7A5活跃司法辖区设有代理行业务的金融机构,需严密审查本地交易对手是否涉足其暗流关联实体。
● 安全重心向运营层转移: 鉴于钱包泄露和私钥管理已成为主要运营风险,企业必须定期执行独立的第三方审计,全面加固跨链消息传输逻辑、验证节点及多重签名控制。
2026年的稳定币安全,显然已经脱离了早期加密应用的狭隘范畴,稳定币安全已不再只是区块链行业的问题,正在成为全球金融基础设施风险管理的重要议题。
报告全文: https://indd.adobe.com/view/c10a9bca-6be9-4272-83ed-ec9fc631b48f
