在 2025 年,敵對行為者策畫了一系列高影響力的安全事件,總計從數位資產平台中耗損約 22 億美元。位於首位的是以杜拜為基地的 Bybit,在 2 月 21 日遭遇創紀錄的 14 億美元洩漏,攻擊者利用以 Safe 為基礎的多簽錢包的漏洞,授權約 401,000 ETH 的未經授權轉出。調查人員指出簽名金鑰被洩露,以及內部錢包操作員可能遭網路釣魚攻擊,是根本原因;該交易所暫停提款,展開內部調查,並承諾在與執法機關合作追查被盜資金的同時,維持用戶餘額。
Cetus,在 Sui 平台上的集中流動性去中心化交易所,以 2.23 億美元的漏洞在五月排名第二。攻擊者向流動性池注入偽造代幣,透過自動化做市商邏輯操縱定價,並在協議團隊修補漏洞後,透過白帽行動多次獲取價值,回收部分損失。Balncer V2 在十一月以 1.28 億美元漏洞緊跟其後,源於可組合穩定池中的四捨五入錯誤;重複的存款與提現循環利用會計差異,直到問題被識別並加以緩解。
在集中式交易所方面,Bitget 因對手於其 VOXEL 市場先於內部做市機器人下單,利用薄弱的流動性獲取低風險收益,最終掏空金庫,損失達 1 億美元。Phemex 在一月發生價值 8,500 萬美元的熱錢包漏洞,導致提款凍結與金鑰輪替。伊朗 Nobitex 在六月報告熱錢包中有 8000 萬美元流失;印度交易所 CoinDCX 在七月披露 4420 萬美元的伺服端漏洞,後與內部憑證濫用有關。去中心化永續合約平台 GMX 因其在 Arbitrum 的 v1 GLP 池出現類重入漏洞,造成 4200 萬美元損失,交易暫停並在部署合約修補前停止鑄幣。
其他值得注意的事件包括 Infini(專注穩定幣的新型網路銀行)發生的 4950 萬美元管理員權限漏洞,以及 BtcTurk 的 4800 萬美元熱錢包駭擊,凸顯托管與協議邏輯仍是頻繁的攻擊向量。這些漏洞凸顯需要強健的多簽金鑰管理、嚴謹的協議審計,以及分層安全控管,以保護用戶資產並在不斷演變的區塊鏈生態系統中維護信任。
評論 (0)