2025-ben ellenséges szereplők sorozatos, nagy hatású biztonsági incidenseket szerveztek, amelyek összességében körülbelül 2,2 milliárd dollárt vontak el digitális eszköz‑platformokról. A lista élén a dubaji székhelyű Bybit állt, amely február 21-én rekordméretű, 1,4 milliárd dolláros megsértést szenvedett el, amikor a támadók a Safe‑alapú multisig tárcák sebezhetőségeit kihasználva jogosulatlan átutalásokat engedélyeztek körülbelül 401 000 ETH-hez. A nyomozók a kompromittált aláírási kulcsokra és a belső tárcaüzemeltetők phishingére utaló jelre utaltak mint gyökér-okokra; a tőzsde felfüggesztette a kivonásokat, belső vizsgálatot indított, és ígéretet tett arra, hogy tiszteletben tartja a felhasználók egyenlegeit, miközben a hatóságokkal együttműködve követi a lopott pénzek nyomát.
Cetus, a Sui-hálózaton lévő koncentrált likviditású decentralizált tőzsde, májusban 223 millió dolláros kizsákmányolással a második helyen végzett. A támadó hamisított tokeneket vezetett be a likviditási poolokba, az automatizált piaci-készítő logika révén manipulálta az árakat, és többször kivont értéket, mielőtt a protokollcsapatok javították a sebezhetőséget, és a veszteségek egy részét fehérkalapos intézkedésekkel visszaszerezték. A Balancer V2 128 millió dolláros kizsákmányolást követett novemberben, amelyet a komponálható stabilpoolokban fennálló kerekítésbeli hiba okozott; a többszöri betét–kivétel hurkok kiaknázva az elszámolási eltéréseket addig folytatódtak, amíg a problémát fel nem fedezték és mérsékelték.
A központosított tőzsdéken a Bitget 100 millió dollárt veszített, amikor a támadók előfuttatták a belső piaci‑készítő botokat a VOXEL piacon, kiaknázva a vékony likviditást alacsony kockázatú nyereségekért, mielőtt kimerítették a kincstárat. A Phemex januárban 85 millió dolláros hot-wallet-behatolást észlelt, amely kivonási felfüggesztést és kulcs-rotációkat eredményezett. Iránban a Nobitex júniusban 80 millió dollár hiányát jelentette a forró tárcákból, míg az indiai CoinDCX júliusban 44,2 millió dolláros szerveroldali incidenst jelentett be, amelyet később belső jogosultságokkal való visszaéléshez kötöttek. A decentralizált perpetuális piacokat kínáló GMX 42 millió dolláros kizsákmányolást szenvedett el egy reentrancy-stílusú sebezhetőségen keresztül az Arbitrum-on lévő v1 GLP-poolban, amely leállította a kereskedést és letiltotta a kibocsátást addig, amíg a szerződés javításait ki nem adták.
Más jelentős incidensek közé tartozott az Infini-nél 49,5 millió dolláros adminisztrátori jogosultság-kihasználás, amely egy stabilcoinokra összpontosító neobank volt, és a BtcTurk-nál történt 48 millió dolláros forró tárca-hack, hangsúlyozva, hogy mind az őrzés, mind a protokoll-logika továbbra is gyakori támadási vektorok maradnak. Ezek a behatolások rámutatnak arra, hogy robusztus multisig kulcskezelésre, szigorú protokoll‑ellenőrzésekre és réteges biztonsági kontrollokra van szükség a felhasználói eszközök védelmére és a növekvő blokklánc‑ökoszisztéma iránti bizalom fenntartására.
Hozzászólások (0)