2025 年加密货币骇客攻击和诈骗事件层出不穷,但其中一起事件尤其引人注目。
据区块链安全公司 Hacken 称,总共损失了约 40 亿美元,比 2024 年的总额增加了 37%,其中超过一半与北韩有关。
Protos 总结了今年最大、最奇怪、最重要的事件,并提出了一个问题:这些事件告诉我们 2025 年的加密安全状况如何?
中心化交易所掠夺
就规模和影响力而言,今年最大的损失无疑是二月的Bybit骇客事件。
该交易所的一个冷钱包遭到入侵,导致超过14亿美元的加密资产被窃。这次骇客攻击后来被归咎于北韩骇客发起的名为「TraderTraitor」的加密货币攻击活动。
在「攻破 Safe {Wallet} 开发者机器」后,骇客伪装恶意交易,向Bybit团队展示了这些交易,从而控制了钱包。
阅读更多:加密货币「拉撒路问题」的解决方案可能比预期的更简单
为了应对多重签名业者面临的「盲签」问题,硬体钱包制造商 Ledger 推出了新的「明文签名」功能。然而,这项「免费」安全升级最终却并非真正免费,因此遭到了强烈反对。
TRM Labs 认为这是北韩「基础设施攻击产业化」趋势转变的一部分。其攻击重点似乎已从针对桥梁(2021-2022 年)转向服务提供者(2023-2024 年),再到「CEX 超级劫案」(2024-2025 年)。
除了Bybit之外,2025 年遭受北韩骇客攻击的交易所还包括SwissBorg(9 月损失 4,100 万美元)和(很可能是)韩国交易所Upbit(11 月损失 3,000 万美元)。
2025 年其他被骇客攻击的中心化交易所 (CEX) 包括 CoinDCX(损失 4,400 万美元)、WooX(损失 1,400 万美元)、BigONE(损失 2,700 万美元)、BtcTurk(损失 4,900 万美元,该公司在 2,024 年也损失了 5,500 万美元)。
6 月针对伊朗交易所 Nobitex 的政治动机骇客攻击事件尤其引人注目,被盗的 9000 万美元被发送到无法找回的地址,其中包含反伊朗讯息。
DeFi平台遭骇客攻击
今年DeFi计划也遭受了不少骇客攻击,但严重程度和频率都低于往年。
最严重的事件发生在11月,Balancer的v2资金池遭到攻击,损失高达1.29亿美元。除了损失巨大之外,这次骇客攻击还令人惊讶,因为它发生在资金池上线整整五年之后。
阅读更多:人工智慧骇客是否正以 500 万美元的巨额资金攻击旧的 DeFi 专案?
Balancer 并非今年唯一遭受攻击的初代 DeFi 协定。 12 月Ribbon Finance、Rari Capital 和 iEarn(现已更名为 Yearn)Finance 接连遭到骇客攻击,有些人怀疑这是一起价值 500 万美元的人工智慧辅助骇客攻击事件。
Yearn 本身也遭遇了 900 万美元的骇客攻击,虽然追回了 240 万美元,但后来该公司披露其一个金库出现故障。
Abracadabra 在 3 月(损失 1300 万美元)和 10 月(损失 170 万美元)也遭遇了两次骇客攻击,而 Zoth 在 3 月总共损失了 870 万美元。
此外, GMX遭到 4,200 万美元的骇客攻击,USDC 的发行方 Circle 因未能冻结资金而受到牵连;区块链桥 Garden 也遭遇了 DeFi 带来的 1,100 万美元「报应」。
阅读更多: Circle很少冻结被盗资金,但希望交易可逆。
一名骇客表现得特别出色,在链上嘲讽审计人员后,将窃取的以太币发送到 Tornado Cash 开发者 Roman Storm 的辩护基金。
钓鱼邮件很多
7月份,Venus Protocol遭遇了一次高达2,700万美元的巨额损失,一度引发了人们对其遭到大规模骇客攻击的担忧。然而,最终证实这笔交易只是因为一位「巨鲸」落入了网路钓鱼骗局。
还有更多例子提醒我们,即使是经验丰富的专家有时也会上瘾,加密货币老手 Jill Gunter 就精疲力竭,而 UXLINK 黑客则因网络钓鱼而损失了赃物。
ZKLend 骇客也遭遇了灾难,据报道,他使用恶意 Tornado Cash 前端后被钓鱼诈骗了 950 万美元。
最近,另一位用户似乎也因为同样的问题损失了 230 万美元。
阅读更多: 7000万美元「地址造假」骗局退款仍在进行中,超过50%的款项已退回。
圣诞节前不久,一起巨大的地址投毒诈骗案导致一名受害者损失了 5000 万美元的USDT。
尽管坏消息不断,但9月还是传来了一些令人稍感轻松的消息:一起被称作「可能是历史上最大的供应链攻击」的事件,最终只窃取了0.05美元。
DeFi 戏剧
撇开骇客攻击和诈骗不谈,DeFi 舞台上还上演了许多其他戏剧性的事件。
由 Stream Finance 引发的相互关联的收益金库的崩溃,导致数亿美元的资金蒸发,因为「雏菊链」瓦解了。
事件的后续影响导致许多涉事公司保持沉默,或选择威胁寻求答案的麻烦用户。
DAO 之争愈演愈烈, Aave DAO 和 Labs 为争夺品牌所有权而争吵不休,而Gnosis则解雇了其财务经理。
阅读更多: Aave巨鲸在「令人不齿」的治理投票中导致代币价格暴跌10%
在被美国财政部外国资产控制办公室 (OFAC) 列入制裁名单近三年后,加密货币混合器 Tornado Cash 于 3 月被解除制裁。
但这并没有帮助开发商 Roman Storm,尽管检方提供的证据相当可疑,但他四个月后还是被定罪了。
另一款混音器 Samourai Wallet 的开发者在 7 月认罪,但现在正在寻求川普以动辄赦免而闻名的特赦。
我们学到了什么吗?
Bybit骇客事件的复杂性和所需的准备工作表明,加密技术最薄弱的环节是人,而非程式码。清晰、防篡改的签名方法仍然是团队和个人亟需改进的关键领域。
出于政治动机的行为者愿意将目标对准外国中央交易所,这表明交易者面临额外的地缘政治风险。 (仿佛他们面临的风险还不够多似的。)
成熟的程式码库也证明了它们的价值,因为今年许多 DeFi 骇客攻击都是基于传统协定。
多年来饱受骇客攻击之后,开发人员或许正在学习避免重蹈覆辙。
我们也看到,虽然 2025 年的表现低于预期,但美国证券交易委员会 (SEC) 的宽松政策提高了人们的信心。
多年来一直低调发展的DeFi主要项目现在正在重新整合,并将目标瞄准主流受众。
