2025年顶级加密货币黑客攻击事件:暴露行业弱点的安全事故

2025年对加密货币行业来说是重要的一年,但从更大的角度来看,这是一把双刃剑。

一方面,该行业在机构采用方面日趋成熟,并购数量创下历史新高。

共有267笔交易,总额达86亿美元,对于那些站在交易正确一方的人来说,这是盈利丰厚的一年。 

另一方面,黑客攻击和漏洞利用造成的损失创下历史新高,暴露了该领域在安全方面仍有很长的路要走。

来自SlowMist和CertiK等安全公司的数据显示,安全事件数量同比下降了50%,从2024年的400多起降至2025年的约200起。 

但财务损失的程度却讲述了不同的故事。被盗资金总额较前一年激增55%,攀升至超过34亿美元。

虽然基本的安全措施,如常规智能合约审计和自动化漏洞检测,正在成功消除业余黑客过去瞄准的低级目标,但攻击的性质已经发生了根本性转变。

现代攻击者不再广撒网寻找小型协议漏洞。

相反,专业化组织,最著名的是北韩Lazarus Group,会花费数月时间进行侦察和基础设施渗透,以执行单次灾难性打击。

该行业现在面临质量重于数量的危机,攻击次数减少了,但发生的攻击造成的破坏要大得多。

随着2026年的到来,让我们回顾一下2025年四起最大的安全事件,这些事件暴露了该行业的许多弱点。

Bybit交易所:15亿美元

今年最大的事件发生在总部位于迪拜的加密货币交易所Bybit,这成为与北韩国家支持的Lazarus Group相关的最大确认盗窃案。

攻击者花了数月时间与领先的多重签名基础设施提供商Safe{Wallet}的一名开发人员建立信任,然后他们设法引入了一个恶意Docker项目,悄悄建立了一个持久性后门。

进入系统后,攻击者将恶意JavaScript注入Bybit内部签名团队使用的Safe钱包界面的前端代码中。

当Bybit高管登录签署看似常规的内部交易时,用户界面显示了正确的钱包地址和金额。

然而,在代码层面,目标地址被悄悄替换为攻击者控制的钱包。

约14.6亿至15亿美元的ETH被抽走,影响了大量用户,他们暴露在该行业见过的最严重的安全故障之一中。

该事件暴露了围绕用户界面信任的关键行业弱点,强化了如果呈现交易详情的软件层已被破坏,硬件钱包和多重签名阈值提供的保护微乎其微。

OG Bitcoin巨鲸:3.3亿美元

早在4月,一位中本聪时代的Bitcoin巨鲸在其持有的币十多年未动后,成为一次毁灭性社交工程攻击的受害者,导致损失3,520 BTC,当时价值约3.307亿美元。

正如链上侦探ZachXBT所描述的,该事件成为该行业历史上最大的个人盗窃案而载入史册。

与针对代码的攻击不同,这次攻击在几个月的时间里,利用人工智能驱动的深度伪造和语音克隆技术来突破受害者的心理防线。

犯罪者疑似是一个有组织的集团,在英国Camden的一个复杂的呼叫中心运营,使用"Nina"和"Mo"等化名,通过冒充受信任的法律和技术顾问,与年长的受害者建立了虚假的安全感。

最终,攻击者将受害者引导到一个伪造的"安全验证"门户网站,该网站模仿了知名钱包提供商的官方支持网站,受害者在"账户升级"的幌子下被操纵输入其私人凭证或在其硬件设备上签署特定交易。资金立即被转移。

资金迅速通过"剥离链"洗钱,并转换为隐私币Monero(XMR),由于突然的大量需求,导致Monero价格飙升50%。

该事件最终暴露了缺乏机构级托管服务的高净值个人的极端脆弱性,表明如果人为层面被有效操纵,再多的加密也无法保护资产。

Cetus Protocol漏洞利用:2.23亿美元

Cetus Protocol是Sui网络上最大的去中心化交易所,由于其智能合约逻辑的技术故障,在5月遭到利用。

漏洞利用者发现了用于流动性计算的共享开源数学库中的关键算术缺陷,使他们能够抽走约2.23亿美元的流动性资产。

具体来说,该函数旨在通过将固定点数字左移64位来安全缩放。

然而,它的溢出检查中包含逻辑错误。比较使用的掩码太大,允许了本应被拒绝的位移。

通过使用闪电贷创建一个极窄刻度范围的流动性提供者头寸,攻击者触发了算术溢出,更准确地说是位截断,导致合约计算所需存款仅为1单位代币,但仍为攻击者提供了大量流动性。

然后攻击者只需移除流动性,根据虚假膨胀的账目索取矿池的真实储备。

虽然Sui验证者成功协调在资产被桥接出去之前对1.62亿美元的资产进行紧急冻结,但净损失仍然是2025年最大的损失之一。

它向去中心化金融生态系统证明,像Move这样的现代、安全导向的语言并非天生就能免受数学错误的影响,并强化了数学严谨性仍然是协议设计中不可妥协的要求。

Balancer V2:1.28亿美元

Balancer在11月遭受了跨多条链(Ethereum、Arbitrum和Base)的复杂经济工程漏洞利用,攻击者成功利用了协议在内部交换期间处理精度舍入方式中的微小差异。

Balancer的可组合稳定池使用不同的舍入方向来放大和缩小代币数量,以保护协议的不变量,该不变量作为StableSwap算法的数学锚点,确保矿池在资产交换期间保持恒定的总价值和平衡。

攻击者发现,通过将矿池余额推入特定的8到9 Wei范围,他们可以通过向下舍入错误导致整数除法损失高达10%的价值。

随后,使用自动化合约,攻击者发起了一笔包含超过65次微交换的单笔交易。

每次交换反复削减几Wei的价值,复合精度损失,直到矿池的内部账目完全扭曲。

结果,他们能够利用复合精度损失,直到矿池的内部账目完全扭曲,之后他们可以以被压低的价格铸造LP代币,并立即以其全额价值赎回,在不触发任何协议安全检查的情况下提取数百万美元。

本文《2025年顶级加密货币黑客攻击:暴露行业弱点的事件》首次出现在Invezz