2025年的重大漏洞事件

引言

加密货币损失在2025年达到34亿美元，接近2024年的总额。然而，盗窃的性质发生了巨大变化。朝鲜黑客领衔，损失集中在较少但规模更大的攻击中。

趋势十分明显：漏洞现在更多地针对供应链和人类弱点，而不仅仅是智能合约漏洞。传统的安全措施如审计和多签钱包正逐渐显示出不足。

Bybit黑客事件

2月的Bybit漏洞事件是2025年最严重的事件之一，盗取金额在14亿到15亿美元之间。FBI在几天内追踪到朝鲜的TraderTraitor组织。

不同于典型的黑客事件，此次攻击针对了Bybit的基础设施合作伙伴。黑客攻破了一个Safe钱包管理员，向界面注入了恶意代码。在一次常规转账中，代码交换了钱包地址，导致401,000 ETH被转移。

攻击模式

洗钱策略不同于常规操作。攻击者将资金分成较小的部分(60%低于50万美元)，使用中国的服务在45天的周期内转移。

大多数黑客转移的金额更大($1-10M)。私钥被攻破导致了88%的第一季度损失。朝鲜特工以IT承包商身份渗透公司，获取内部访问权限，以便立即盗窃和进行长期情报收集。

Trust Wallet & Cetus

Trust Wallet的12月浏览器扩展漏洞影响了$7M 用户资金，公司已全额赔偿。版本2.68的用户需要立即更新。

Cetus协议在5月因整数溢出漏洞损失了2.2亿到2.23亿美元。攻击者利用闪电贷操纵流动性计算，创建了看似超额抵押的假代币。在15分钟内，他们清空了46个流动池，随后Sui验证节点冻结了1.62亿美元。

Balancer V2

11月的Balancer V2漏洞在多个链上造成了$128M 资金流失。两个缺陷使得攻击得以实施：薄弱的访问控制允许攻击者伪造交易，而舍入错误导致精度误差。黑客串联了65次微型交换，累计误差使价格被操控达10%。

仅以太坊就损失了$99M ，Arbitrum、Base、Polygon、Optimism和Berachain也受到影响。超过20个Balancer分叉继承了该漏洞。

社交工程攻击日益增加

朝鲜的战术已超越简单的钓鱼攻击。攻击者现在冒充高管和投资者，植入虚假的IT工作人员，劫持已验证的账户。

AI工具加快了这些行动的速度，通过扫描代码仓库寻找漏洞，并在数小时内在链间复制漏洞。仅假冒Coinbase支持的操作就窃取了超过1亿美元。基础设施漏洞平均每次$30M 。

10月崩盘，第一部分

10月10日标志着加密货币最大规模的清算事件：14小时内消失了193亿美元，前60秒内损失了32.1亿美元。160万交易者被清算。两次同时冲击了(特朗普宣布100%对中国关税和MSCI咨询排除数字资产国债)，市场毫无反应。

订单簿深度崩溃85%，比特币价差从0.02点扩大到26.43点，增长了(1321倍)。

10月崩盘，第二部分

危机集中在币安，USDe抵押品的流动性消失。其他交易所正常交易，而币安价格崩盘，引发市场范围内的清算。预言机操控将一次$60M 抛售转变为96亿美元的连锁崩盘。

递归USDe杠杆允许在可操控的价格上堆叠10倍仓位。去杠杆操作清空了$65B 未平仓合约。币安的API和界面故障阻止交易者增加抵押或逢低买入。

市场失误与重要事件

币安的稳定币问题看似普遍，但实际上是平台特有的问题。交易所向用户赔偿$283M ，而竞争对手则正常运营。

2025年其他重大漏洞还包括Phemex($7300万)、UPCX($7000万)和Bitget($1亿美元)。Bitget事件涉及交易者利用故障的自动交易机器人进行操控。

经验教训

智能合约审计有所改进，但攻击者也在不断适应。Bybit的损失源于供应链被攻破，而非代码缺陷。10月的崩盘暴露了交易所基础设施的漏洞。Cetus和Balancer虽然经过多次审计，但仍被利用。

有效的安全措施需要实时交易监控、供应链验证、假设任何内部人员都可能被攻破，以及具有抗压能力的市场基础设施，而不仅仅是选择一种防御层。