根據區塊鏈安全審計機構Hacken的報告,2025年上半年因智能合約漏洞、訪問控制漏洞、Rug Pull和詐騙等問題造成的加密貨幣損失已超過31億美元。
這一數字已超過2024年全年28.5億美元的總額。儘管2月份Bybit平台遭受的15億美元攻擊可能屬於個例,但整個加密行業依然面臨嚴峻安全挑戰。
損失類型分佈與2024年基本一致。其中,訪問控制漏洞是主要損失來源,占比約59%;智能合約漏洞占比約8%,盜取金額達到2.63億美元。
Hacken取證與事件響應負責人Yehor Rudytsia在接受Cointelegraph採訪時表示,他們注意到從2025年第三季度開始,過時的GMX v1代碼庫成為主要攻擊目標。
Rudytsia表示:「如果舊代碼庫未被完全停用,項目方需關注相關風險。」
隨著加密行業持續成熟,攻擊者已將重點從密碼學漏洞轉向人為和流程層面的問題。這些複雜攻擊技術包括盲簽名攻擊、私鑰洩露及複雜的釣魚攻擊等。
行業發展突顯出一個關鍵隱患:儘管技術防護不斷增強,訪問控制依然是加密行業最薄弱、風險最高的領域之一。
DeFi與智能合約暴露安全漏洞
運營安全漏洞是主要損失原因,DeFi與CeFi平台合計被盜資金達18.3億美元。2025年第二季度最突出事件為Cetus駭客攻擊,15分鐘內損失2.23億美元,創下自2023年初以來DeFi單季度最大損失,結束了連續五個季度的損失下降趨勢。
此前,2024年第四季度及2025年第一季度,訪問控制失效居主導地位,超過了大部分漏洞型攻擊。然而,本季度DeFi領域訪問控制漏洞導致的損失降至1,400萬美元,創2024年第二季度以來新低,但智能合約漏洞導致的損失卻大幅上升。
Cetus攻擊事件利用了流動性計算中的溢出檢查漏洞。攻擊者通過閃電貸開啟小額倉位,並橫掃264個資金池。Hacken指出,若實施即時總鎖倉額(TVL)監控與自動暫停機制,最多可挽回90%的被盜資金。
人工智慧正對加密安全構成日益嚴重威脅
人工智慧與LLM(大型語言模型)已深度融入Web2和Web3生態。這一融合雖然推動了創新,但也擴大了攻擊面,帶來了新型且不斷演化的安全威脅。
與2023年相比,涉及人工智慧的攻擊事件激增1,025%,其中98.9%與不安全的API有關。此外,五項主要的AI相關CVE(常見漏洞與暴露)被新增到名單中,目前34%的Web3項目在生產環境中部署AI Agent(人工智慧代理),使其成為攻擊者的重點目標。
傳統網絡安全框架——如ISO/IEC 27001和NIST網絡安全框架——尚未能夠應對人工智慧獨有的風險,例如模型幻覺、提示注入和對抗性數據投毒。「Hacken」指出,這些標準必須進行升級,以反映Web3當前面臨的AI專屬威脅。