TokenPost播客节目深入剖析了2025年冲击加密货币行业的大规模黑客事件及其引发的严重安全危机,并重点分析了市场所面临的结构性风险。节目指出,尤其值得注意的是,损失规模正以史无前例的水平扩散,现实情况表明,相较于技术安全,运营管理的重要性正日益凸显。
2025年上半年加密货币黑客攻击造成的损失高达21.7亿美元,这一数字已超过去年全年的22亿美元损失总额。损失金额的累积速度比史上最严重的2022年还要快70天以上,安全漏洞正全方位暴露。特别是2月发生的Bybit黑客事件,单次事件就导致15亿美元被盗,远超此前2022年Ronin Network黑客攻击(6.15亿美元)这一最大损失事件的两倍。此外,针对Phemex、Novitex、Coinbase等主要交易所的多起攻击也接连发生。
问题在攻击类型中显露出来。因访问控制失败造成的损失占全部损失的59%,这使其成为比智能合约代码缺陷(8%)大得多的风险因素。这意味着,私钥管理疏忽、内部威胁、社会工程学等“运营安全”问题,已变得比技术应对更为复杂和广泛。典型案例之一的Bybit,尽管使用了业内受信任的多重签名解决方案“Safe”,但由于运营层面的漏洞暴露给黑客,最终导致了巨额损失。
此外,与朝鲜政府有关的网络黑客组织Lazarus Group被指为Bybit黑客事件的幕后黑手,这确认了国家层面攻击这一新的风险格局。Lazarus Group自2017年以来已实施数十次攻击,2022年Ronin Network攻击也被美国FBI正式确认为该组织所为。2025年,据推测与Lazarus相关的黑客损失也已超过2亿美元。韩国也未能置身事外。11月,韩国最大交易所Upbit遭受黑客攻击,被盗3000万至3600万美元,政府机构和专家确认攻击手法带有浓厚的朝鲜关联特征。
去中心化金融(DeFi)领域的损失也在加速。今年上半年DeFi安全事件造成的损失达31亿美元,已超过2024年全年损失额(28.5亿美元)。其中,智能合约缺陷占全部损失的67%,并动用了重入攻击、预言机操纵、闪电贷攻击等复合手段。仅针对跨链桥的攻击就导致超过15亿美元被盗。这表明,实现互操作性的桥接技术也可能成为另一个安全威胁的源头。
在此情况下,安全投资的效果也清晰显现。据安全审计专业公司CertiK称,接受过安全审计的项目遭遇黑客攻击的概率比未审计项目低95%。例如,若投入2万美元能防止2000万美元的黑客损失,则投资回报率(ROI)高达1000倍。实际上,报告显示,因代码漏洞造成的损失在2025年第三季度下降了71%,这证实了代码强化的实效性。
专家们诊断认为,除了立即应对漏洞外,更需要全面提升安全战略。智能合约审计、引入多重签名、实时异常检测系统以及购买资产保险等都是代表性措施。特别是扩大冷钱包使用和减少热钱包资产,被视为基本的预防措施。普通用户也必须采取双重认证、为每项服务设置独特密码、警惕钓鱼攻击等必要措施。
展望未来,行业预计将面临量子计算发展和基于AI攻击的新威胁。利用AI技术进行的深度伪造语音视频、自动钓鱼技术已在上半年造成超过3亿美元的损失,npm软件包供应链攻击事件也有报告。中长期来看,量子算法可能使现有的ECDSA、RSA等加密技术失效,因此全行业的密码体系转型(后量子密码学)正成为一项主要任务。
在此背景下,韩国政府也显现出加强监管的动向。Upbit事件后,金融当局已着手强化交易所安全审计标准,并开始审查关于调整热钱包存储资产比重的指导方针。专家们强调,加密货币行业现在应将安全视为必要的生存工具而非成本,并应长期扩大对下一代桥接技术及抗量子安全等领域的战略性投资。
