TokenPost播客節目深入剖析了2025年衝擊加密貨幣行業的大規模黑客事件及其引發的嚴重安全危機,並重點分析了市場所面臨的結構性風險。節目指出,尤其值得注意的是,損失規模正以史無前例的水平擴散,現實情況表明,相較於技術安全,運營管理的重要性正日益凸顯。
2025年上半年加密貨幣黑客攻擊造成的損失高達21.7億美元,這一數字已超過去年全年的22億美元損失總額。損失金額的累積速度比史上最嚴重的2022年還要快70天以上,安全漏洞正全方位暴露。特別是2月發生的Bybit黑客事件,單次事件就導致15億美元被盜,遠超此前2022年Ronin Network黑客攻擊(6.15億美元)這一最大損失事件的兩倍。此外,針對Phemex、Novitex、Coinbase等主要交易所的多起攻擊也接連發生。
問題在攻擊類型中顯露出來。因訪問控制失敗造成的損失佔全部損失的59%,這使其成為比智能合約代碼缺陷(8%)大得多的風險因素。這意味著,私鑰管理疏忽、內部威脅、社會工程學等“運營安全”問題,已變得比技術應對更為複雜和廣泛。典型案例之一的Bybit,儘管使用了業內受信任的多重簽名解決方案“Safe”,但由於運營層面的漏洞暴露給黑客,最終導致了鉅額損失。
此外,與朝鮮政府有關的網絡黑客組織Lazarus Group被指為Bybit黑客事件的幕後黑手,這確認了國家層面攻擊這一新的風險格局。Lazarus Group自2017年以來已實施數十次攻擊,2022年Ronin Network攻擊也被美國FBI正式確認為該組織所為。2025年,據推測與Lazarus相關的黑客損失也已超過2億美元。韓國也未能置身事外。11月,韓國最大交易所Upbit遭受黑客攻擊,被盜3000萬至3600萬美元,政府機構和專家確認攻擊手法帶有濃厚的朝鮮關聯特徵。
去中心化金融(DeFi)領域的損失也在加速。今年上半年DeFi安全事件造成的損失達31億美元,已超過2024年全年損失額(28.5億美元)。其中,智能合約缺陷佔全部損失的67%,並動用了重入攻擊、預言機操縱、閃電貸攻擊等複合手段。僅針對跨鏈橋的攻擊就導致超過15億美元被盜。這表明,實現互操作性的橋接技術也可能成為另一個安全威脅的源頭。
在此情況下,安全投資的效果也清晰顯現。據安全審計專業公司CertiK稱,接受過安全審計的項目遭遇黑客攻擊的概率比未審計項目低95%。例如,若投入2萬美元能防止2000萬美元的黑客損失,則投資回報率(ROI)高達1000倍。實際上,報告顯示,因代碼漏洞造成的損失在2025年第三季度下降了71%,這證實了代碼強化的實效性。
專家們診斷認為,除了立即應對漏洞外,更需要全面提升安全戰略。智能合約審計、引入多重簽名、實時異常檢測系統以及購買資產保險等都是代表性措施。特別是擴大冷錢包使用和減少熱錢包資產,被視為基本的預防措施。普通用戶也必須採取雙重認證、為每項服務設置獨特密碼、警惕釣魚攻擊等必要措施。
展望未來,行業預計將面臨量子計算發展和基於AI攻擊的新威脅。利用AI技術進行的深度偽造語音視頻、自動釣魚技術已在上半年造成超過3億美元的損失,npm軟件包供應鏈攻擊事件也有報告。中長期來看,量子算法可能使現有的ECDSA、RSA等加密技術失效,因此全行業的密碼體系轉型(後量子密碼學)正成為一項主要任務。
在此背景下,韓國政府也顯現出加強監管的動向。Upbit事件後,金融當局已著手強化交易所安全審計標準,並開始審查關於調整熱錢包存儲資產比重的指導方針。專家們強調,加密貨幣行業現在應將安全視為必要的生存工具而非成本,並應長期擴大對下一代橋接技術及抗量子安全等領域的戰略性投資。
