2025年頂級加密貨幣駭客攻擊事件:暴露產業弱點的事故

2025年對加密貨幣產業來說是重要的一年,但從更大的角度來看,這是一把雙面刃。

一方面,該產業在機構採用方面日趨成熟,併購數量創下紀錄。

共有267筆交易,總額達86億美元,對於站在正確交易立場的人來說,這是獲利豐厚的一年。 

另一方面,駭客攻擊和漏洞利用造成的損失創下歷史新高,暴露出該領域在安全方面仍有很長的路要走。

SlowMist和CertiK等安全公司的數據顯示,安全事件數量年減50%,從2024年的400多起降低到2025年的約200起。 

但財務損失的程度卻講述了不同的故事。被盜資金總額與前一年相比增加了55%,攀升到超過34億美元。

雖然基本的安全措施,如例行智能合約審計和自動化漏洞檢測,成功消除了業餘駭客過去針對的低門檻目標,但攻擊的性質已經發生根本性轉變。

現代攻擊者不再廣撒網尋找小型協議漏洞。

相反,專業化組織,最著名的是北韓Lazarus Group,花費數月時間進行偵察和基礎設施滲透,以執行單次災難性打擊。

該產業現在正面臨質量高於數量的危機,攻擊次數減少了,但發生的攻擊造成的破壞要大得多。

隨著2026年的開始,讓我們回顧2025年四起最大的安全事件,這些事件暴露了該產業的許多弱點。

Bybit交易所:15億美元

今年最大的事件發生在總部位於杜拜的加密貨幣交易所Bybit,這成為有史以來與北韓國家支持的Lazarus Group相關的最大確認盜竊案。

攻擊者花費數月時間與領先的多重簽名基礎設施提供商Safe{Wallet}的開發人員建立信任,然後他們設法引入了一個惡意Docker項目,悄悄建立了一個持久的後門。

進入系統後,攻擊者將惡意JavaScript注入Bybit內部簽名團隊使用的Safe錢包介面的前端代碼中。

當Bybit高管登入簽署看似例行的內部交易時,用戶介面顯示的是正確的錢包地址和金額。

然而,在代碼層面,目標地址被悄悄替換為攻擊者控制的錢包。

約14.6億至15億美元的ETH被盜取,影響了大量用戶,他們暴露在該產業所見過的最嚴重的安全故障之一中。

該事件暴露了圍繞UI信任的關鍵產業弱點,強化了如果呈現交易詳情的軟體層遭到入侵,硬體錢包和多重簽名門檻幾乎無法提供保護。

OG Bitcoin巨鯨:3.3億美元

回到4月,一位中本聰時代的Bitcoin巨鯨在持有其代幣超過十年未動的情況下,成為毀滅性社會工程攻擊的受害者,導致損失3,520 BTC,當時價值約3.307億美元。

正如鏈上偵探ZachXBT所描述的,該事件被銘刻在歷史上,成為該產業歷史上最大的個人盜竊案。

與針對代碼的攻擊不同,這次攻擊利用AI驅動的深度偽造和語音克隆技術,在數月內突破了受害者的心理防線。

犯罪者被懷疑是一個有組織的犯罪集團,在英國Camden的一個複雜呼叫中心運作,使用"Nina"和"Mo"等化名,通過冒充受信任的法律和技術顧問,與這位年長受害者建立了虛假的安全感。

最終,攻擊者將受害者引導至一個假的"安全驗證"入口網站,該網站模仿了知名錢包提供商的官方支援網站,受害者在"帳戶升級"的幌子下被操縱輸入其私人憑證或在其硬體設備上簽署特定交易。資金立即被轉移。

資金迅速通過"剝離鏈"洗錢,並轉換成隱私幣Monero(XMR),由於突然的大量需求,導致Monero價格暴漲50%。

該事件最終暴露了缺乏機構級託管服務的高淨值個人的極端脆弱性,表明如果人為層面被有效操縱,再多的加密也無法保護資產。

Cetus Protocol漏洞利用:2.23億美元

Cetus Protocol是Sui網路上最大的去中心化交易所,由於其智能合約邏輯的技術故障,在5月遭到利用。

利用者發現了用於流動性計算的共享開源數學庫中的關鍵算術缺陷,使他們能夠盜取約2.23億美元的流動性資產。

具體來說,該函數旨在通過將定點數左移64位來安全地縮放它們。

然而,它的溢位檢查中包含邏輯錯誤。比較使用的掩碼過大,允許了應該被拒絕的位元移位。

通過使用閃電貸創建一個具有極窄刻度範圍的流動性提供者頭寸,攻擊者觸發了算術溢位,更準確地說是位元截斷,導致合約計算所需存款僅為1個代幣單位,但仍然為攻擊者記入大量流動性。

然後攻擊者簡單地移除流動性,根據虛假膨脹的會計記錄索取池的實際儲備。

雖然Sui驗證者在資產轉出前成功協調緊急凍結了1.62億美元的資產,但淨損失仍然是2025年最大的損失之一。

它向去中心化金融生態系統證明,像Move這樣以安全為導向的現代語言並非天生對數學錯誤免疫,並強化了數學嚴謹性在協議設計中仍然是不可協商的要求。

Balancer V2:1.28億美元

11月,Balancer在多條鏈(Ethereum、Arbitrum和Base)上遭受複雜的經濟工程利用,攻擊者成功利用協議在內部交換期間處理精度舍入方式的微小差異。

Balancer的可組合穩定池利用不同的舍入方向來放大和縮小代幣數量,以保護協議的不變量,該不變量作為StableSwap演算法的數學錨點,確保池在資產交換期間保持恆定的總價值和平衡。

攻擊者發現,通過將池餘額推入特定的8至9 Wei範圍,他們可以通過向下舍入錯誤導致整數除法損失高達10%的價值。

隨後,使用自動化合約,攻擊者發起了一筆包含超過65次微型交換的單一交易。

每次交換重複削減幾個Wei的價值,累積精度損失,直到池的內部會計完全扭曲。

結果,他們能夠利用累積的精度損失,直到池的內部會計完全扭曲,之後他們可以以被壓低的價格鑄造LP代幣,並立即以其全部價值贖回,在不觸發任何協議安全檢查的情況下提取數百萬美元。

本文《2025年頂級加密貨幣駭客攻擊:暴露產業弱點的事件》首次發表於Invezz