當駭客開始「狙擊」：復盤 2025 年Web3 十大至暗時刻

你以為躲過了土狗歸零，躲過了交易所插針，你的資產就安全了嗎？答案可能比你想像的要殘酷得多。

站在 2025 年的歲末回望，如果只看 K 線圖，今年的故事似乎依舊是熟悉的牛熊輪轉、起伏不定。但在價格曲線的背面，還有另一條更驚心動魄的軌跡。這一年，駭客們的獵殺變得更加精準且致命。根據慢霧區塊鏈被黑檔案庫及其他網路來源的不完全統計，截至 12 月 15 日，全年鏈上及加密相關安全事件達 189 起，累計損失高達約 26.89 億美元。

撰文：Sanqing，Foresight News

數據全景

時間上，今年致命的「重磅炸彈」大多在第一季引爆，而後三個季度，業界則更多面臨中小型安全事故的持續騷擾。

Q1 共發生 68 起事件，披露損失約 16.58 億美元，是全年數量和金額都最高的季度，其中包括 Bybit 在內的十億美元級事件，使這一時期的記錄遠高於其他季度。

Q2 記錄 52 起事件，損失約 4.65 億美元；Q3 為 38 起事件，損失約 3.28 億美元；Q4 截至 12 月 15 日時錄得 31 起事件，損失約 2.38 億美元。

金額上，在所有披露損失的 127 起事件中，約一半（62 起） 的案值不足 100 萬美元。這些佔了半壁江山的「小案子」，合計損失約 1,437 萬美元，在年度總損失中的佔比微乎其微（0.53%）。真正的危機，被高度壓縮在金字塔的頂端。

包括 Bybit 在內的 3 起億級大案，雖然數量佔比不足 3%，合計案值卻高達約 18.11 億美元，佔全年的 67.35%。尤其是 Bybit 這一起孤例，單案損失高達 14.6 億美元，一家就佔年度損失的一半以上（54.29%）。對駭客而言，攻擊 100 個中小項目，遠不如完成一次頂級目標的「單點爆破」來得暴利。

其餘損失位於 100 萬至 1,000 萬美元區間的事件有 42 起，佔 33.07%，累計損失約 1.92 億美元，佔 7.15%。在 1,000 萬至 5,000 萬美元區間共有 15 起事件，佔 11.81%，損失約 3.37 億美元，佔 12.54%。 5,000 萬至 1 億美元的事件有 5 起，佔 3.94 %，累計損失約 3.34 億美元，佔 12.42%。

2025 年度十大安全事件

筆者依揭露損失金額，篩選出了全年最為慘烈的十大核心案件。這十起事故雖然只佔案發總數的極小比例，卻合計貢獻了全年絕大多數的被盜金額。

1. Bybit 供應鏈攻擊：14.6 億美元的幽靈簽名

• 時間: 2025 年 2 月 21 日
• 攻擊手法：供應鏈攻擊

這是 Web3 史上規模最大的單次駭客攻擊，根據鏈上偵探 ZachXBT 及官方取證報告，本次攻擊並非直接破解了 Bybit 的私鑰，而是疑似臭名昭著的北韓駭客組織 Lazarus Group 實施的一次供應鏈投毒。攻擊者透過社會工程手段入侵了多簽服務商 Safe Wallet 開發人員的電腦，植入了惡意程式碼。

當 Bybit 團隊執行常規的冷熱錢包歸集操作時，被篡改的前端 UI 實施了視覺欺騙：螢幕上顯示的是正常的轉帳位址，然而底層的智慧合約邏輯已被悄悄替換為惡意後門。 這導致 Bybit 在毫不知情的情況下，親手簽署了將 49.9 萬枚 ETH 轉移給駭客的交易。

但事件發生後，Bybit 迅速公開直播並發布說明，為阻斷攻擊擴散，Bybit 第一時間暫停受影響錢包交互，同時保持平台提現與存款功能正常運行，避免因恐慌造成擠兌，只部分提現因流量激增可能延遲。同時其確認此次僅涉及其中一個 ETH 冷錢包，其餘資產保持安全，並強調平台儲備充足，將全額承擔用戶損失，確保用戶資金 1:1 安全。

2. Cetus 合約漏洞：2.6 億美元的 DeFi 數學陷阱

• 時間: 2025 年 5 月 22 日
• 攻擊手法：合約漏洞

Cetus 是 SUI 公鏈生態中的重要流動性提供協議。事後分析發現，Cetus 的智慧合約在處理特定參數時存在數學庫精確度問題（overflow check 缺陷）。

駭客利用該邏輯缺陷，透過壓低池內價格，在高價區建倉，隨後利用溢出漏洞，僅以極小的代幣成本就向池內注入了虛高的流動性，最終像變魔術一樣掏空了價值 2.6 億美元的資產。但這起事件的高潮不僅攻擊本身，還涉及後續的救援行動。在駭客得手並將部分資金跨鏈轉移後，Sui 驗證節點迅速識別並鎖定了攻擊者留在鏈上的約 1.62 億美元資產。

為了奪回這筆巨款，Sui 社群通過了一項極具爭議的升級提案：Sui 官方支援透過硬編碼的方式，在協議升級中加入兩筆特殊交易，直接將駭客地址中的資產強行劃轉至由 Cetus、Sui 基金會和安全公司共同管理的多簽錢包。提案獲得通過，1.62 億美元被成功「沒收」並用於賠付用戶，配合基金會的貸款，Cetus 最終實現了對受損用戶的全額賠償。雖然是保護受害者的正義之舉，但也打破了「不可篡改」的區塊鏈金身。

3. Balancer 邏輯漏洞：1.28 億美元的取整謬誤

• 時間: 2025 年 11 月 3 日
• 攻擊手法：邏輯漏洞

作為老牌 DeFi 協議，Balancer 在 V2 上依然因為邏輯漏洞遭遇重創。根據分析，漏洞源自於極度隱密的四捨五入方向錯誤，當處理包含非整數縮放因子的 EXACT_OUT 兌換時，協定錯誤地執行了向下取整。

攻擊者敏銳地捕捉到了這一毫釐之差，結合批量兌換功能反覆套利，最終將以太坊、Arbitrum、Avalanche 等多條鏈上的資金池洗劫一空，損失總額高達 1.28 億美元。這次攻擊迅速引發了「骨牌效應」：為防止漏洞波及自身的 BEX，Berachain 不惜透過緊急硬分叉的方式暫停網路運作；StakeWise、Beets 等依賴 Balancer 流動性的協議蒙受重創。

4. Nobitex 遭國家級打擊：9,000 萬美元的數位地緣衝突

• 時間: 2025 年 6 月 18 日
• 攻擊手法：未明

Nobitex 事件在官方揭露時，僅給出資金損失與業務影響的粗略說明。事件發生在伊朗與以色列爆發 12 天軍事衝突的敏感時期。攻擊者 Predatory Sparrow 並沒有試圖掩蓋痕跡或清洗資金，而是將這些錢轉移到了透過暴力破解產生的羞辱性地址中（地址後綴包含反伊朗革命衛隊 IRGC 的口號）。

這種做法直接導致這些資金既無法被使用，也無法被追回，相當於在鏈上製造了一片「數位焦土」。其目的非常明確：不是為了錢，而是為了癱瘓伊朗的金融生命線，羞辱對手。這次攻擊還導致了 Nobitex 原始碼的洩露，揭開了伊朗加密經濟的 “雙面性”：代碼顯示，Nobitex 內置了供執法部門使用的 “後門”，允許在無搜查令的情況下監控普通用戶；同時，它又為 VIP（通常是受制裁的高官或實體）設計了專門的隱私保護邏輯，幫助其國際制裁。

5. UPCX 權限失竊：7000 萬美元的流動性死局

• 時間: 2025 年 4 月 1 日
• 攻擊手法：私鑰外洩 / 惡意升級合約

這是一場看似驚天動地、實則進退兩難的駭客行動。 4 月 1 日，Cyvers 監測到支付公鏈 UPCX 的管理帳戶出現異常。

攻擊者疑似取得了管理員權限，透過升級 ProxyAdmin 合約並呼叫 withdrawByAdmin 函數，從三個管理帳戶中一口氣提走了 1840 萬枚 UPC，帳面價值高達 7000 萬美元。但根據 CoinGecko 數據，UPCX 當時的市場流通量僅約 400 萬枚。這意味著，駭客手中掌握的代幣數量是全市場流通總量的 4.6 倍。

6. Phemex 熱錢包失守：7,000 萬美元的多鏈掃蕩

• 時間: 2025 年 1 月 23 日
• 攻擊手法：未知途徑熱錢包私鑰洩露

1 月 23 日，新加坡交易所 Phemex 遭遇大規模網路攻擊，損失高達 7,000 萬美元。根據安全機構分析，幕後黑手極有可能是北韓相關駭客組織 TraderTraitor。攻擊者展現了極高的專業與執行力：不僅同時在 ETH、Solana、Polkadot 等多條公鏈上透過至少 8 個位址轉移資產，更在操作上極具針對性。

攻擊者優先將 USDC、USDT 等可凍結資產兌換為 ETH，隨後連價值僅幾百美元的小幣種也一併打包帶走。事後，Phemex 依託約 18 億美元的儲備金啟動賠償並恢復服務，暫時穩住了平台營運。

7. BtcTurk 熱錢包失守：5,400 萬美元的二度折戟

• 時間: 2025 年 8 月 14 日
• 攻擊手法：熱錢包私鑰洩露

對土耳其最大的加密交易所 BtcTurk 來說，這起事件是一場似曾相識的惡夢。事件發生 14 個月前，該交易所曾因熱錢包被竊 5,500 萬美元而導致管理層大換血。然而悲劇卻再次重演，其熱錢包再次被攻破，駭客輕鬆取得了取得 7 條區塊鏈的私鑰權限，捲走約 5,400 萬美元。

這起案件最令人唏噓的不是金額，而是重蹈覆轍。連續兩次被盜均源自於熱錢包私鑰管理不善，對於用戶而言這是最壞的消息，因為你永遠不知道平台是否真的吸取了教訓，還是只是在等待下一次被盜。

8. Infini 權限失竊：5000 萬美元的賭徒施盜

• 時間: 2025 年 2 月 24 日
• 攻擊手法：內鬼犯案

起初，團隊試圖透過鏈上喊話並提供 20% 賞金來招安駭客，但隨著調查深入，一個令人震驚的真相浮出水面：這並非外部入侵，而是核心工程師的「監守自盜」。

根據網路流傳的法院披露文件，第一被告 Chen Shanxuan（Infini 核心合約工程師）利用職務之便，在部署合約時保留了 Super Admin 最高權限，卻對團隊謊稱已移交至多簽。被告因長期沉迷高倍數合約交易和網路賭博，背負了巨額債務。在案發前，他曾多次向同事借錢，甚至接觸地下錢莊。

在債務壓力的逼迫下，他動用了權限，將金庫中的 5,000 萬美元洗劫一空。他將 USDC 換成 DAI 再換成 ETH，試圖透過混幣洗白。這種基於信任的「草台班子」管理，再次印證了加密價值之一：Don‘t Trust, Verify！

9. CoinDCX 管理漏洞：接私活接出的 4,420 萬美元大鍋

• 時間: 2025 年 7 月 19 日
• 攻擊手法：內部威脅

印度頭交易所 CoinDCX 遭遇了一場荒誕的「內鬼」危機。駭客在凌晨先進行了一筆 1 USDT 的微小測試，隨即如決堤般捲走了價值 4420 萬美元的資產。警方調查迅速鎖定了公司員工 Rahul Agarwal 並將其逮捕。

調查顯示，Agarwal 長期違規使用公司配發的筆記型電腦「接私活」，在過去一年裡賺取了約 1.8 萬美元的外快。但這台公物私用的電腦最終成為了外部駭客滲透內網的特洛伊木馬。員工終端安全（En​​dpoint Security）與行為規範，是交易所絕對不能忽視的隱形防線。

10. GMX 管理漏洞：4,200 萬美元越修越漏的迴力鏢

• 時間：2025 年 7 月 15 日
• 攻擊手法：重入攻擊 / 修補程式引入漏洞

去中心化衍生性商品交易協議 GMX V1 遭遇了智能合約攻擊中古老且經典的 “重入攻擊” 漏洞，重入攻擊即利用合約邏輯的時間差，在系統完成最終記賬之前，強行 “插隊” 再次發起調用，如本案中黑客卡在系統更新持倉數量和平均價格之間的間隙發起攻擊，迫使系統價值錯誤使用舊價格計算。

然而諷刺的是，這個致命漏洞，是 GMX 團隊在 2022 年緊急修復某個 Bug 時候自己引入的。在未經充分審計的情況下，這顆埋了三年的雷終於被引爆。幸運的是，最終駭客同意白帽協議談判，歸還了大部分資金。

攻擊手段

若以攻擊方式拆解，我們會發現駭客對 Web3 的入侵就像一場分層級的「立體戰爭」。不同的攻擊手法，折射出完全不同的技術深度與破壞邊界。

供應鏈攻擊展示了極為可怕的破壞力上限。儘管該類別全年僅記錄 4 起，且其中 3 起的損失規模並不突出，但 Bybit 一案（14.6 億美元） 的存在，揭示了這種攻擊手法的恐怖之處：它繞過了鏈上的智能合約防禦，直接從基礎設施或代碼源頭進行投毒。這種攻擊往往極難得手，一旦成功滲透進中心化巨頭的供應鏈，其造成的後果就是毀滅性的「降維打擊」。 它不是最高頻的威脅，卻是懸在業界頭頂的達摩克利斯之劍。

合約與協議漏洞則是駭客與專案方進行正面對抗的主戰場。這是最常見的安全事件原因，63 起事件造成約 6.75 億美元損失。這是典型的「科技博弈」：駭客需要精通程式碼邏輯，尋找數學或邏輯上的破綻。雖然單案破壞力不如 Bybit 那般驚世駭俗，但由於 DeFi 協議中沉澱了大量資金，只要攻破一點，往往就能獲得數百萬至數千萬美元的不當得利。

相較之下，帳號 / 前端攻擊更像是一種低成本的外圍騷擾。這一類別雖有多達 57 件的紀錄（包括推特被駭、前端注入等），但紀錄損失僅 1,774 萬美元。這類攻擊通常利用流量劫持、釣魚連結等手段，技術門檻相對較低。雖然它們在社群媒體上製造了最大的恐慌噪音，但由於無法直接觸動鏈上金庫，其造成的實際損失往往止步於「皮膚外傷」。

此外，不可忽視的還有人的因素。跑路、內鬼作惡以及私鑰洩漏等同樣造成了不小的損失。管理永遠應該被重視，系統再完美，握著鑰匙的人，總是那個填不上的漏洞。

新手閱讀：《 虛擬貨幣詐騙自救、手法分析，虛擬貨幣詐騙錢拿的回來嗎？ 》

幣圈人士保命清單

別做幫駭客完成 KPI 的人，以下是讓你在 Web3 活得更久的保命清單。

1. 預設官方也會騙人

看到「官方空投」、「緊急賠付」的鏈接，先別點！推特會被盜，Discord 會被黑，連總統都會發假幣。

去官網、去社群交叉驗證。多花 1 分鐘確認，好過花 10 年回本。

2. 陌生項目，只用小號衝

不認識的土狗、沒聽過的 DApp，別用存大錢的主錢包去連！準備一個只放幾百 U 的錢包去試水溫。

養成隔離習慣，炸也就炸個小號，大本營毫髮無傷。

3. 盡量避免無限授權，定期解除授權

沒有任何協議值得你把身家性命交給它。授權額度用多少填多少，別為了省 Gas 填無限。

定期用 Revoke.cash 查一次，很久不用的，看著眼生的授權全取消。

4. 慢簽名，多確定

面對小狐狸彈出的簽名框，別只會點確認。三問：這筆交易到底在幹嘛？合約地址對不對？萬一被盜，這筆損失我扛得住嗎？

有一個答不上來，就拒絕簽名。

5. 資金要分家，交易的歸交易，存錢的歸存錢

交易所放一點，鏈上錢包放一點，不同鏈再分散一點。交易帳戶 = 彈性取用的錢（放交易所 / 熱錢包），存錢帳戶 = 幾乎不動的錢（放冷錢包 / 多簽）。

存錢帳戶永遠不要去亂點連結、亂授權。分散不是為了賺更多，是為了哪怕一個地方雷了，你還能有籌碼翻身。

記住，Web3 不缺機會，但缺乏永遠在桌上的人。