2025年的重大漏洞事件

引言

加密貨幣損失在2025年達到34億美元，與2024年的總額接近。然而，盜竊的性質發生了巨大轉變。朝鮮黑客領先，損失集中在較少但規模較大的攻擊中。

趨勢十分明顯：漏洞現在更傾向於攻擊供應鏈和人為弱點，而不僅僅是智能合約漏洞。傳統的安全措施如審計和多簽錢包正逐漸顯得不足。

Bybit黑客事件

2月的Bybit漏洞事件是2025年最嚴重的事件之一，竊取金額約為14億至15億美元。FBI在幾天內追蹤到北韓的TraderTraitor團伙。

與一般的黑客事件不同，此次攻擊針對了Bybit的基礎設施合作夥伴。黑客入侵了一個Safe錢包管理員，將惡意代碼注入界面。在一次例行轉帳中，代碼交換了錢包地址，導致401,000 ETH被轉走。

攻擊模式

洗錢策略與典型操作不同。攻擊者將資金分成較小的部分(60%低於50萬美元)，並利用中國的服務每45天進行一次循環。

大多數黑客轉移較大金額($1-10M)。私鑰被攻破導致了88%的第一季度損失。北韓特工滲透公司，扮演IT承包商角色，獲取內部資訊，進行即時盜竊和長期情報收集。

Trust Wallet與Cetus

Trust Wallet在12月的瀏覽器擴展漏洞影響了$7M 用戶資金，該公司已全額賠償。版本2.68的用戶需要立即更新。

Cetus協議在5月因整數溢出漏洞損失了2.2億至2.23億美元。攻擊者利用閃電貸款操縱流動性計算，創造出看似超額抵押的假代幣。在15分鐘內，他們耗盡了46個流動池，隨後Sui驗證者凍結了1.62億美元。

Balancer V2

11月的Balancer V2漏洞在多條鏈上造成損失。兩個缺陷使攻擊得以實施：薄弱的存取控制允許攻擊者偽造交易，四捨五入錯誤則導致精度偏差。黑客連續進行了65次微型交換，錯誤累積使價格操控達到10%的變動。

僅以太坊就損失了$128M ，Arbitrum、Base、Polygon、Optimism和Berachain也受到影響。超過20個Balancer分叉版本遺傳了該漏洞。

社交工程攻擊日益增加

北韓的策略已超越簡單的釣魚攻擊。攻擊者現在冒充高管和投資者，安插假IT人員在加密公司內部，甚至劫持已驗證的帳戶。

AI工具加速了這些攻擊，能在數小時內掃描代碼庫尋找漏洞，並在多條鏈上複製漏洞。僅假冒Coinbase客服的操作就竊取了超過1億美元。基礎設施漏洞平均每次$99M 。

10月崩盤，第一部分

10月10日標誌著加密貨幣史上最大規模的清算事件：14小時內消失了193億美元，前60秒內就損失了32.1億美元。160萬交易者被清算。兩個同時發生的震盪事件是$30M 特朗普宣布100%對中國徵收關稅，以及MSCI就排除數字資產國債的諮詢(，市場毫無反應時間。

訂單簿深度崩潰85%，比特幣價差從0.02點擴大到26.43點基點)1,321倍增長(。

10月崩盤，第二部分

危機集中在Binance，USDe抵押品流動性蒸發。其他交易所正常交易，但Binance價格崩潰，引發市場全面清算。預言機操控將一次拋售轉變為96億美元的連鎖反應。

遞歸USDe槓桿允許在可操控的價格上堆疊10倍倉位。去槓桿過程中，未平倉合約的持倉被清空。Binance的API和UI故障阻礙交易者增加抵押品或逢低買入。

市場失靈與重要事件

Binance的穩定幣問題看似普遍，但實際上是平台特有的。該交易所向用戶進行了賠償)，而競爭對手則正常運作。

2025年其他重大漏洞事件包括Phemex$60M $7300萬$65B 、UPCX$283M $7000萬(，以及Bitget)$1億(。Bitget的事件涉及交易者操縱故障的自動交易機器人。

經驗教訓

智能合約審計有所改善，但攻擊者也在適應。Bybit的失誤源於供應鏈被破壞，而非代碼缺陷。10月的崩盤暴露了交易所基礎設施的漏洞。Cetus和Balancer都通過了多次審計，但仍被攻破。

有效的安全措施需要實時交易監控、供應鏈驗證、假設任何內部人員都可能被滲透，以及能夠抵抗壓力的韌性市場基礎設施，而不僅僅是選擇一層防禦。