在 2025 年,敵對行動者策動一系列高影響力的安全事件,累計從數位資產平臺抽走約 22 億美元。名列前茅的是位於杜拜的 Bybit,在 2 月 21 日遭遇創紀錄的 14 億美元洩露事件,攻擊者利用基於 Gnosis Safe 的多簽錢包漏洞,授權未經授權的約 401,000 ETH 轉移。調查人員指向簽名金鑰洩露以及內部錢包操作者可能遭釣魚攻擊,作為事件的根本原因;交易所暫停提款,展開內部調查,並承諾在與執法機關協同追查被盜資金的同時,保障用戶資產餘額。
Cetus,於 Sui 平台上的集中流動性去中心化交易所,於五月發生價值 2.23 億美元的攻擊,排名第二。攻擊者在流動性池中引入偽造代幣,透過自動做市商邏輯操控定價,並在協議團隊修補漏洞且以白帽行動回收部分損失前,反覆提取價值。Balancer V2 隨後於十一月出現 1.28 億美元的攻擊,原因是可組合穩定幣池中的四捨五入誤差漏洞;重複的存入-提取循環利用了會計差異,直到問題被識別並緩解。
在集中式交易所方面,Bitget 因對手方在其 VOXEL 市場實施前置自動下單,利用薄利流動性以獲取低風險收益,從而掏空金庫約 1 億美元。Phemex 在一月出現價值 8,500 萬美元的熱錢包被入侵事件,導致提款凍結並進行鑰匙輪換。伊朗的 Nobitex 在六月報告熱錢包損失 8,000 萬美元;印度交易所 CoinDCX 在七月披露伺服器端被入侵 4,420 萬美元,後被連結至內部憑證濫用。去中心化永久合約平台 GMX 在 Arbitrum 的 v1 GLP 池出現 4,200 萬美元的可重入式漏洞攻擊,停止交易並在部署合約修補前禁用鑄幣。
其他值得注意的事件包括 Infini — 一家專注穩定幣的 neobank — 的 4,950 萬美元管理員權限漏洞,以及 BtcTurk 的 4,800 萬美元熱錢包駭入事件,突顯託管與協議邏輯依然是頻繁的攻擊向量。這些漏洞凸顯出需要健全的多簽金鑰管理、嚴謹的協議審計,以及分層的安全控管,以保護用戶資產並在不斷發展的區塊鏈生態系統中維持信任。
評論 (0)