2025 區塊鏈安全與反洗錢年度報告:總損失激增 46%,AI 與社交工程成主流威脅
慢霧科技(SlowMist)發布最新年度報告指出,2025 年區塊鏈行業面臨更為複雜的安全挑戰 。雖然安全事件總數由 2024 年的 410 起下降至 200 起,但總損失金額卻不降反升,同比增長約 46%,達到驚人的 29.35 億美元 。
年度損失前十大攻擊事件:Bybit 遭駭 14.6 億美元居首
2025 年最受矚目的安全事件為加密貨幣交易所 Bybit 的駭客攻擊,單次損失金額高達 14.6 億美元,駭客疑似透過獲取 Safe Wallet 多簽權限發動攻擊 。
(公開 Bybit 遭駭秘辛 !CEO Ben Zhou 回憶危機處理過程:我們能夠挺過去)
廣告 - 內文未完請往下捲動
其餘重大損失事件包括:
Cetus Protocol: 損失約 2.3 億美元,主因為合約機制漏洞 。
(水家人流下眼淚!Sui 主要 DEX Cetus 丟失超過 2.6 億美元,蒸發 83% TVL)
Balancer V2: 因 Stable Pool 交換路徑中的計算錯誤,損失約 1.21 億美元 。
(Balancer 疑似遭駭 1.16 億美元!DeFi 再爆重大資安漏洞)
Nobitex: 遭親以色列駭客組織攻擊,銷毀約 1 億美元資產 。
(伊朗銀行系統丶加密貨幣交易所全癱瘓!若台海遭遇資訊戰,持有比特幣能避險嗎?)
其他受害項目還包括 Phemex(7,000 萬美元)、UPCX(7,000 萬美元)、BtcTurk(5,400 萬美元)、Infini(5,000 萬美元)、CoinDCX(4,420 萬美元)及 GMX(4,200 萬美元)。
(加密金融卡公司Infini遭盜5千萬美元,團隊承諾全額賠償)
欺詐手法升級:從傳統釣魚到 AI 與供應鏈投毒
報告指出,2025 年的攻擊手法呈現高度組織化與專業化,特別是結合了新協議特性與 AI 技術 :
AI 技術攻擊
利用 Deepfake(深度偽造) 技術,駭客能偽造企業高管參加視訊會議(如 Arup 香港員工被騙案)或繞過 KYC 校驗 。此外,駭客也利用 AI 模型動態生成惡意代碼以逃避監測 。
社交工程攻擊
常見手法包括招聘面試騙局,誘導工程師下載含有惡意代碼的代碼倉庫 。
(我遇到求職詐騙了!從受害人視角拆解如何識別 Web3 社交工程攻擊)
Clickfix 釣魚
誘導用戶在系統執行惡意指令 。
Solana 權限篡改
透過修改帳戶 Owner 權限,讓受害者即便擁有私鑰也無法控制資產 。
EIP-7702 授權濫用
利用帳戶抽象新特性進行批量盜幣 。
(以太坊 EIP-7702 釣魚盜竊成駭客新寵:WLFI 投資者錢包慘遭清空)
供應鏈投毒
駭客在 GitHub 熱門開源工具(如 Solana 交易機器人)或 NPM 包中植入後門 。
2025 年反洗錢監管進入跨國執法階段
朝鮮駭客 (Lazarus Group) 仍是全球最大的安全風險之一,僅 2025 年前九個月即竊取約 16.45 億美元 。其洗錢流程已工業化,透過跨鏈橋、混幣器及多起事件資金混洗來模糊追蹤 。
東南亞洗錢節點的部分,柬埔寨的 Huione Group (匯旺) 被指與大量詐騙資金流動有關,遭美國 OFAC 制裁 。
慢霧科技總結,2025 年的趨勢是攻擊體系更專業、犯罪連結更隱蔽、監管執行更強勢 。安全與合規已不再僅是防護能力,而是商業生存的門檻。未來 Web3 行業的生命力將取決於是否能建立更強的安全內控與透明的資金治理模型 。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
