數位資產的關鍵安全格局：2025年主要駭客事件分析

加密貨幣生態系統在2025年面臨了一個特別具有挑戰性的網路安全年度。根據專門從事區塊鏈安全的公司的報告，黑客成功實施了超過300起重大事件，造成累計損失超過34億美元。這一數字較前幾年呈現令人警覺的增長，鞏固了2025年成為數位安全史上最複雜的時期之一。

憂慮趨勢：攻擊手法的演變

今年主要駭客事件中出現了一個重要模式：社交工程技術的複雜度超越了傳統的技術攻擊。攻擊者不再僅僅利用智能合約或 Solidity 代碼的漏洞，而是專注於破壞人為因素和安全供應鏈。

這些策略包括：

• 冒充高層管理人員並竊取憑證
• 毒化前端界面以騙取用戶
• 操控多重簽名界面以授權詐騙交易
• 釣魚與社交工程針對關鍵員工

這種策略特別有效，因為它將風險從鏈上數學轉移到控制權和人為流程的失誤。

最具影響力的事件

交易平台攻擊（2月）：15億美元

2025年最重大的一起盜竊發生在2月初，一個由朝鮮黑客組織——後來被確認為 Lazarus Group——執行的高階攻擊，針對一個中心化平台。這次行動相當巧妙：攻擊者入侵平台前端界面，騙取員工相信他們正在授權合法交易。

入侵系統後，他們取得了以太坊冷錢包的存取權。15億美元的資產迅速被轉移到多條區塊鏈上，分散在數萬個地址，並通過去中心化橋樑洗淨。法醫研究人員成功追蹤部分資金，但大部分資金在數月內持續移動。

事後，該平台提供10%的獎金給成功追回資金的調查人員，並聘請區塊鏈分析專家凍結已識別的資產。

Sui DeFi協議危機（5月）：2.2億美元

Sui生態系統中最大的流動性提供者在5月短短15分鐘內被抽走2.2億美元。這次攻擊並未利用智能合約中的標準漏洞，而是利用第三方數學庫中的一個舍入錯誤，該庫用於計算流動性和價格。

攻擊者操控池子參數，利用一個MSB（最重要有效位）驗證缺陷，導致提取了不成比例的資產。開發團隊迅速暫停合約，成功凍結或追回約1.6億美元，但仍有6,000萬美元暴露在外。這是年度最嚴重的DeFi攻擊，並暫時中斷了受影響生態系統的交易。

流動性協議漏洞（11月）：1.16億美元

一個廣泛使用的DeFi協議在11月遭遇漏洞，社群媒體分析師發現異常交易動作。漏洞源於該協議第2版穩定池邏輯中的舍入錯誤，影響多條鏈，包括以太坊主網和數個L2。

初步損失估計約1.2億美元，最大影響在以太坊。同時，一隻不活躍的大戶在攻擊後不久提取了650萬美元。總鎖倉價值（TVL）在一天內暴跌一半。後續調查追蹤大部分資金，並持續監控錢包以便凍結被盜資產。

另一個中心化平台（1月）：7,300萬美元

一個亞洲的中心化交易所其熱錢包在多達16條鏈上被入侵。安全公司發現多筆可疑提款。

安全分析師後來證實，1月和2月的攻擊由同一黑客團隊協調，他們使用相似的地址並混合兩次事件的資金。這表明背後的操作比最初認為的更為廣泛和協調。

韓國平台（11月）：超過3,000萬美元

韓國最大交易所報告遭駭，總影響約為445億韓元（約合3400萬美元）。公司資金損失約59億韓元（約合400萬美元），但僅有177萬美元通過追蹤被凍結。

該平台暫停提款，將資金轉入冷錢包，並逐步重新開放，使用新地址存放資金。事件凸顯了集中式基礎設施的固有風險。

2025年全球安全統計

2025年加密貨幣被盜事件的規模反映在以下關鍵數據：

• 總損失：約33億至34億美元（不同分析公司採用不同方法導致差異）
• 記錄事件數：超過313起重要案件
• 上半年趨勢：約2.5億美元被盜，已超過2024年整年的總額
• 主要驅動因素：錢包被攻破、釣魚和社交工程
• 分佈情況：部分高層基礎設施攻擊造成巨大損失，而DeFi事件較多，但單次金額較小

生態系統的教訓

2025年的根本變化在於證明數位資產不僅容易受到程式碼錯誤的影響，更深層次的是組織流程和人為因素的弱點。年度內的異常損失主要源於存取控制失誤，而非區塊鏈中新出現的數學漏洞。

對於機構和用戶來說，這意味著安全已不僅是技術問題，更是治理運作、多重身份驗證和持續教育反社交工程的問題。攻擊者的日益精細化暗示未來幾年將需要更全面、更整合的防禦措施。