2025 年加密貨幣駭客攻擊和詐騙事件層出不窮,但其中一起事件尤其引人注目。
據區塊鏈安全公司 Hacken 稱,總共損失了約 40 億美元,比 2024 年的總額增加了 37%,其中超過一半與北韓有關。
Protos 總結了今年最大、最奇怪、最重要的事件,並提出了一個問題:這些事件告訴我們 2025 年的加密安全狀況如何?
中心化交易所掠奪
就規模和影響力而言,今年最大的損失無疑是二月的Bybit駭客事件。
該交易所的一個冷錢包遭到入侵,導致超過14億美元的加密資產被竊。這次駭客攻擊後來被歸咎於北韓駭客發起的名為「TraderTraitor」的加密貨幣攻擊活動。
在「攻破 Safe {Wallet} 開發者機器」後,駭客偽裝惡意交易,向Bybit團隊展示了這些交易,從而控制了錢包。
閱讀更多:加密貨幣「拉撒路問題」的解決方案可能比預期的更簡單
為了應對多重簽名業者面臨的「盲簽」問題,硬體錢包製造商 Ledger 推出了新的「明文簽名」功能。然而,這項「免費」安全升級最終卻並非真正免費,因此遭到了強烈反對。
TRM Labs 認為這是北韓「基礎設施攻擊產業化」趨勢轉變的一部分。其攻擊重點似乎已從針對橋樑(2021-2022 年)轉向服務提供者(2023-2024 年),再到「CEX 超級劫案」(2024-2025 年)。
除了Bybit之外,2025 年遭受北韓駭客攻擊的交易所還包括SwissBorg(9 月損失 4,100 萬美元)和(很可能是)韓國交易所Upbit(11 月損失 3,000 萬美元)。
2025 年其他被駭客攻擊的中心化交易所 (CEX) 包括 CoinDCX(損失 4,400 萬美元)、WooX(損失 1,400 萬美元)、BigONE(損失 2,700 萬美元)、BtcTurk(損失 4,900 萬美元,該公司在 2,024 年也損失了 5,500 萬美元)。
6 月針對伊朗交易所 Nobitex 的政治動機駭客攻擊事件尤其引人注目,被盜的 9000 萬美元被發送到無法找回的地址,其中包含反伊朗訊息。
DeFi平台遭駭客攻擊
今年DeFi計畫也遭受了不少駭客攻擊,但嚴重程度和頻率都低於往年。
最嚴重的事件發生在11月,Balancer的v2資金池遭到攻擊,損失高達1.29億美元。除了損失巨大之外,這次駭客攻擊還令人驚訝,因為它發生在資金池上線整整五年之後。
閱讀更多:人工智慧駭客是否正以 500 萬美元的巨額資金攻擊舊的 DeFi 專案?
Balancer 並非今年唯一遭受攻擊的初代 DeFi 協定。 12 月Ribbon Finance、Rari Capital 和 iEarn(現已更名為 Yearn)Finance 接連遭到駭客攻擊,有些人懷疑這是一起價值 500 萬美元的人工智慧輔助駭客攻擊事件。
Yearn 本身也遭遇了 900 萬美元的駭客攻擊,雖然追回了 240 萬美元,但後來該公司披露其一個金庫出現故障。
Abracadabra 在 3 月(損失 1300 萬美元)和 10 月(損失 170 萬美元)也遭遇了兩次駭客攻擊,而 Zoth 在 3 月總共損失了 870 萬美元。
此外, GMX遭到 4,200 萬美元的駭客攻擊,USDC 的發行方 Circle 因未能凍結資金而受到牽連;區塊鏈橋 Garden 也遭遇了 DeFi 帶來的 1,100 萬美元「報應」。
閱讀更多: Circle很少凍結被盜資金,但希望交易可逆。
一名駭客表現得特別出色,在鏈上嘲諷審計人員後,將竊取的以太幣發送到 Tornado Cash 開發者 Roman Storm 的辯護基金。
釣魚郵件很多
7月份,Venus Protocol遭遇了一次高達2,700萬美元的巨額損失,一度引發了人們對其遭到大規模駭客攻擊的擔憂。然而,最終證實這筆交易只是因為一位「巨鯨」落入了網路釣魚騙局。
還有更多例子提醒我們,即使是經驗豐富的專家有時也會上癮,加密貨幣老手 Jill Gunter 就精疲力竭,而 UXLINK 黑客則因網絡釣魚而損失了贓物。
ZKLend 駭客也遭遇了災難,據報道,他使用惡意 Tornado Cash 前端後被釣魚詐騙了 950 萬美元。
最近,另一位用戶似乎也因為同樣的問題損失了 230 萬美元。
閱讀更多: 7000萬美元「地址造假」騙局退款仍在進行中,超過50%的款項已退回。
聖誕節前不久,一起巨大的地址投毒詐騙案導致一名受害者損失了 5000 萬美元的USDT。
儘管壞消息不斷,但9月還是傳來了一些令人稍感輕鬆的消息:一起被稱作「可能是歷史上最大的供應鏈攻擊」的事件,最終只竊取了0.05美元。
DeFi 戲劇
撇開駭客攻擊和詐騙不談,DeFi 舞台上還上演了許多其他戲劇性的事件。
由 Stream Finance 引發的相互關聯的收益金庫的崩潰,導致數億美元的資金蒸發,因為「雛菊鏈」瓦解了。
事件的後續影響導致許多涉事公司保持沉默,或選擇威脅尋求答案的麻煩用戶。
DAO 之爭愈演愈烈, Aave DAO 和 Labs 為爭奪品牌所有權而爭吵不休,而Gnosis則解雇了其財務經理。
閱讀更多: Aave巨鯨在「令人不齒」的治理投票中導致代幣價格暴跌10%
在被美國財政部外國資產控制辦公室 (OFAC) 列入製裁名單近三年後,加密貨幣混合器 Tornado Cash 於 3 月被解除制裁。
但這並沒有幫助開發商 Roman Storm,儘管檢方提供的證據相當可疑,但他四個月後還是被定罪了。
另一款混音器 Samourai Wallet 的開發者在 7 月認罪,但現在正在尋求川普以動輒赦免而聞名的特赦。
我們學到了什麼嗎?
Bybit駭客事件的複雜性和所需的準備工作表明,加密技術最薄弱的環節是人,而非程式碼。清晰、防篡改的簽名方法仍然是團隊和個人亟需改進的關鍵領域。
出於政治動機的行為者願意將目標對準外國中央交易所,這表明交易者面臨額外的地緣政治風險。 (彷彿他們面臨的風險還不夠多似的。)
成熟的程式碼庫也證明了它們的價值,因為今年許多 DeFi 駭客攻擊都是基於傳統協定。
多年來飽受駭客攻擊之後,開發人員或許正在學習避免重蹈覆轍。
我們也看到,雖然 2025 年的表現低於預期,但美國證券交易委員會 (SEC) 的寬鬆政策提高了人們的信心。
多年來一直低調發展的DeFi主要項目現在正在重新整合,並將目標瞄準主流受眾。
