在2025年,敌对行动者策划了一系列高强度的安全事件,合计从数字资产平台中撤走约22亿美元。榜首为总部位于迪拜的 Bybit,在2月21日遭遇创纪录的14亿美元漏洞攻击,当攻击者利用 Safe 为基础的多签钱包漏洞,授权了约40.1万 ETH 的未授权转移。调查人员将根本原因指向被妥协的签名密钥以及内部钱包操作员可能遭遇的钓鱼攻击;交易所暂停提款,启动内部调查,并承诺在与执法部门协调追踪被盗资金的同时,保障用户余额。
Cetus,是一个在 Sui 上的集中的流动性去中心化交易所,因5月发生的2.23亿美元漏洞位列第二。攻击者向流动性池注入伪造的代币,通过自动做市商逻辑操纵价格,并在协议团队修复漏洞、通过白帽行动追回部分损失之前,反复提取价值。Balancer V2 在11月发生1.28亿美元漏洞,原因是在可组合稳定币池中的舍入误差漏洞;重复的存取循环利用了会计差异,直到问题被识别并缓解。
在中心化交易所方面,Bitget 在其 VOXEL 交易市场被对手抢跑内部做市机器人,利用薄弱的流动性获取低风险收益,随后耗尽金库,损失1亿美元。Phemex 在1月记录了8500万美元热钱包被盗事件,导致提款被冻结并进行了密钥轮换。伊朗的 Nobitex 在6月报告热钱包中有8000万美元失窃;而印度交易所 CoinDCX 在7月披露了4420万美元的服务器端漏洞,随后与内部凭证滥用有关。去中心化永续合约平台 GMX 在 Arbitrum 的 v1 GLP 池中通过一种重入式漏洞的攻击,造成4200万美元损失,交易暂停并禁用铸币,直至部署合约修复。
其他显著事件包括 Infini,一家专注于稳定币的 neobank 的 4950 万美元管理员权限漏洞,以及 BtcTurk 的热钱包黑客事件,金额为 4800 万美元,这凸显托管与协议逻辑仍然是频繁的攻击向量。这些漏洞凸显了需要强大的多签密钥管理、严格的协议审计以及分层安全控制,以保护用户资产并维护对不断发展的区块链生态系统的信任。
评论 (0)