今天早些時候,一個與巨鯨關聯的多重簽名錢包因私鑰洩漏而被盜走約 2730 萬美元,加密貨幣行業再次面臨根深蒂固的安全漏洞。
據 PeckShield 稱,攻擊者已洗錢約 1260 萬美元(約 4100 個ETH),並仍持有約 200 萬美元的流動資產。這家安全公司顯示,該洗錢者將大部分贓物透過 Tornado Cash 轉移,Tornado Cash 是一種隱私混合器,常用於破壞交易連結。
2730萬美元多重簽名洩漏事件暴露持續存在的營運風險
這起事件源自於與巨鯨的多重簽名錢包關聯的私鑰被盜,攻擊者從中竊取了約 2,730 萬美元。
儘管多重簽名錢包被廣泛視為機構級安全標準,但此次安全漏洞表明,營運方面的薄弱環節——而非智慧合約本身的缺陷——仍然是該生態系統中最危險的攻擊途徑之一。私鑰管理不善、網路釣魚和內部風險持續威脅著即使是複雜的託管結構。
加密貨幣損失逼近900億美元,2025年攻擊事件加速發生
經過15餘年的安全努力,加密貨幣產業至今已因駭客攻擊和漏洞而損失近900億美元。根據Immunefi報道,近幾個月來,竊盜事件的發生頻率急劇上升。
光是11月份,就有超過2.76億美元的加密貨幣被盜,使得2025年的總損失超過91億美元。這意味著過去12個月內,加密貨幣歷史上約10%的損失都發生了,凸顯了網路威脅情勢的快速惡化。
Immunefi執行長稱「故意疏忽」助長了Web3駭客攻擊
Immunefi 的創辦人兼執行長 Mitchell Amador 表示,該行業最大的脆弱性不是技術複雜性,而是故意疏忽。 Immunefi 是一個眾包安全平台,保護超過 1800 億美元的數位資產。
阿馬多爾表示:“加密貨幣正面臨安全危機。隨著生態系統規模的擴大,鏈上活動的激增與部署後安全預算的縮減以及攻擊面的快速擴張形成了鮮明對比。”
Amador 指出,99% 的 Web3 專案在沒有基本防火牆的情況下運行,而只有不到 10% 的專案部署了現代 AI 驅動的安全工具,這使得大多數協定在發布後都處於危險的暴露狀態。
發布後漏洞將導致 2025 年大部分攻擊事件發生
阿馬多爾表示,今年大多數影響巨大的駭客攻擊並非源自於審計錯誤。 “今年的大多數駭客攻擊並非由於審計不力造成的,”他說,“它們發生在產品發布之後、協議升級期間或通過集成漏洞——這些都是僅靠審計無法發現的盲點。”
這種模式反映了攻擊者行為的更廣泛轉變,他們的目標是營運過渡階段,而不是初始階段。
為什麼即時生命週期安全必須取代僅審計模式
阿馬多爾認為,業界必須放棄靜態的、以審計為中心的安全方法,轉而採用持續的、自動化的、生命週期安全方法。
他表示:“鏈上安全還不夠成熟。它仍然依賴於人工審查和分散的系統,這使得組織無法即時調整其安全態勢。”
阿馬多爾解釋說,雖然技術解決方案已經存在,但應用卻落後了——這一差距導致數十億美元的用戶和機構資金持續流失。
隨著加密貨幣逐漸成為主流金融,最近發生的 2700 萬美元多重簽名漏洞事件可能不再只是一起孤立事件,而更像是一個警告:如果安全文化沒有根本性的轉變,損失可能會持續增加,而行業防禦能力的發展速度卻跟不上。
