慢雾科技(SlowMist)发布最新年度报告指出,2025 年区块链行业面临更为复杂的安全挑战 。虽然安全事件总数由 2024 年的 410 起下降至 200 起,但总损失金额却不降反升,同比增长约 46%,达到惊人的 29.35 亿美元 。
年度损失前十大攻击事件:Bybit 遭骇 14.6 亿美元居首
2025 年最受瞩目的安全事件为加密货币交易所 Bybit 的骇客攻击,单次损失金额高达 14.6 亿美元,骇客疑似透过获取 Safe Wallet 多签权限发动攻击 。
(公开 Bybit 遭骇秘辛 !CEO Ben Zhou 回忆危机处理过程:我们能够挺过去)
其余重大损失事件包括:
Cetus Protocol: 损失约 2.3 亿美元,主因为合约机制漏洞 。
(水家人流下眼泪!Sui 主要 DEX Cetus 丢失超过 2.6 亿美元,蒸发 83% TVL)
Balancer V2: 因 Stable Pool 交换路径中的计算错误,损失约 1.21 亿美元 。
(Balancer 疑似遭骇 1.16 亿美元!DeFi 再爆重大资安漏洞)
Nobitex: 遭亲以色列骇客组织攻击,销毁约 1 亿美元资产 。
(伊朗银行系统丶加密货币交易所全瘫痪!若台海遭遇资讯战,持有比特币能避险吗?)
其他受害项目还包括 Phemex(7,000 万美元)、UPCX(7,000 万美元)、BtcTurk(5,400 万美元)、Infini(5,000 万美元)、CoinDCX(4,420 万美元)及 GMX(4,200 万美元)。
(加密金融卡公司Infini遭盗5千万美元,团队承诺全额赔偿)
欺诈手法升级:从传统钓鱼到 AI 与供应链投毒
报告指出,2025 年的攻击手法呈现高度组织化与专业化,特别是结合了新协议特性与 AI 技术 :
AI 技术攻击
利用 Deepfake(深度伪造) 技术,骇客能伪造企业高管参加视讯会议(如 Arup 香港员工被骗案)或绕过 KYC 校验 。此外,骇客也利用 AI 模型动态生成恶意代码以逃避监测 。
社交工程攻击
常见手法包括招聘面试骗局,诱导工程师下载含有恶意代码的代码仓库 。
(我遇到求职诈骗了!从受害人视角拆解如何识别 Web3 社交工程攻击)
Clickfix 钓鱼
诱导用户在系统执行恶意指令 。
Solana 权限篡改
透过修改帐户 Owner 权限,让受害者即便拥有私钥也无法控制资产 。
EIP-7702 授权滥用
利用帐户抽象新特性进行批量盗币 。
(以太坊 EIP-7702 钓鱼盗窃成骇客新宠:WLFI 投资者钱包惨遭清空)
供应链投毒
骇客在 GitHub 热门开源工具(如 Solana 交易机器人)或 NPM 包中植入后门 。
2025 年反洗钱监管进入跨国执法阶段
朝鲜骇客 (Lazarus Group) 仍是全球最大的安全风险之一,仅 2025 年前九个月即窃取约 16.45 亿美元 。其洗钱流程已工业化,透过跨链桥、混币器及多起事件资金混洗来模糊追踪 。
东南亚洗钱节点的部分,柬埔寨的 Huione Group (汇旺) 被指与大量诈骗资金流动有关,遭美国 OFAC 制裁 。
慢雾科技总结,2025 年的趋势是攻击体系更专业、犯罪连结更隐蔽、监管执行更强势 。安全与合规已不再仅是防护能力,而是商业生存的门槛。未来 Web3 行业的生命力将取决于是否能建立更强的安全内控与透明的资金治理模型 。
这篇文章 2025 区块链安全与反洗钱年度报告:总损失激增 46%,AI 与社交工程成主流威胁 最早出现于 链新闻 ABMedia。
