在2025年,敌对参与者策划了一系列高影响力的安全事件,合计从数字资产平台中耗尽约22亿美元。榜首是总部位于迪拜的Bybit,在2月21日遭遇创纪录的14亿美元漏洞攻击,当攻击者利用基于Safe的多签钱包的漏洞,授权约401,000 ETH 的未授权转移。调查人员指出被泄露的签名密钥以及对内部钱包运营人员的钓鱼攻击可能是根本原因;该交易所暂停取款,开启内部调查,并承诺在与执法机构协调追踪被盗资金的同时,继续保障用户余额。
Cetus,是一个在Sui上的集中流动性去中心化交易所,5月遭遇2.23亿美元的漏洞,排名第二。攻击者将伪造的代币引入流动性池,通过自动做市商逻辑操纵定价,并在协议团队修补漏洞、通过白帽行动追回部分损失之前,反复提取价值。Balancer V2 随后在11月遭遇1.28亿美元的漏洞,原因是在可组合的稳定币池中的舍入误差漏洞;重复的存款-取款循环利用了会计差异,直到问题被发现并得到缓解。
在中心化交易所方面,Bitget 在其 VOXEL 市场被对手抢跑内部做市机器人,利用薄弱流动性获得低风险收益后掏空资金库,损失1亿美元。Phemex 在1月记录了8,500万美元热钱包漏洞,导致提款被冻结并进行了密钥轮换。伊朗的 Nobitex 在6月报告热钱包中有8,000万美元丢失,同时印度交易所 CoinDCX 在7月披露了4,420万美元的服务器端漏洞,稍后与内部凭证滥用有关。去中心化永续合约平台 GMX 在 Arbitrum 的 v1 GLP 池通过类似重入漏洞的攻击获利4,200万美元,导致交易暂停并在部署合约修复前禁用铸造。
其他值得注意的事件包括一家专注于稳定币的数字银行 Infini 的管理员权限漏洞,金额为4950万美元,以及 BtcTurk 的4800万美元热钱包黑客事件,这些事件凸显托管与协议逻辑仍然是常见的攻击向量。这些漏洞凸显了对强健的多签密钥管理、严格的协议审计以及分层安全控制的需求,以保护用户资产并维护在不断演进的区块链生态系统中的信任。
评论 (0)