去中心化金融(DeFi)協議在2025年4月遭遇15宗駭客攻擊事件,共損失9,250萬美元。根據區塊鏈安全公司Immunefi的最新月報,較2024年4月按年上升27.3%,較2025年3月的4,140萬美元損失更增長一倍以上。
這令人憂慮的激增加深了資安專家的共識——儘管歷經多年大規模攻擊與反覆警告,DeFi的技術基礎仍然存在危險漏洞。4月數據更推高今年總虧損:2025年由黑客攻擊和漏洞造成加密貨幣損失已達17.4億美元,僅用4個月已超越整年度2024年的14.9億美元記錄。
「今次不只是一時的升浪,而是去中心化協議設計、部署、維護上出現了根本安全危機。」ChainSecurity首席研究員Maria Chen解釋:「行業正在構建愈來愈複雜的金融基建,但底層程式碼並未獲得如傳統金融系統般嚴謹驗證。」
4月的攻擊主要針對主流區塊鏈網絡,100%屬於技術漏洞利用,並非社交工程或詐騙。15宗記錄事件中,多宗既涉及巨額損失,也體現出攻擊手法的複雜性:
UPCX Protocol:7,000萬美元
本月最大漏洞出現在UPCX,一個自2024年底上線、累積鎖倉價值逾3億美元的跨鏈支付協議。4月12日,攻擊者發現其跨鏈訊息驗證機制存在致命缺陷。
經區塊鏈情報公司Chainalysis初步取證,駭客利用UPCX在不同EVM兼容鏈驗證交易簽名上的細微實現漏洞。攻擊者於網絡擁擠時精準下手,繞過驗證步驟,從多個流動性池同時偽造提現。
Optimism Security Labs 創辦人 Thomas Walton-Pocock 指出:「今次UPCX被攻,體現出跨鏈橋仍然是生態內最易被攻擊的基礎設施之一。過去Wormhole與Ronin等橋樑事件早有前車可鑒,項目團隊卻仍低估安全實現的複雜度。」
UPCX其後宣布擬定受影響用戶的賠償方案,詳情仍在調查及公佈中。
KiloEx:750萬美元
KiloEx是一間專注期權交易的去中心化交易所,於4月19日因一次精心策劃的價格預言機操控,損失750萬美元。駭客先在KiloEx參考市場製造流動性短缺,壓低KETH/ETH期權合約的預言機價格。
隨後,透過不同交易場地連續協調操作價格,並利用KiloEx自動清算機制,於預言機價格恢復前買入大幅折扣的期權合約。
Paradigm 資安研究員Samczsun表示:「預言機攻擊手法愈趨周密。現時攻擊者對市場結構有深入了解,可以在不違反任何系統規則的情況下,跨多協議創造套利漏洞。」
其他重大事件
剩下的4月事件合共造成1,500萬美元損失:
- Loopscale:借貸合約重入漏洞被攻擊,損失580萬美元
- ZKsync:零知識證明驗證電路漏洞被盜走500萬美元
- Term Labs:合約互動時未檢查返回值造成損失150萬美元
- Bitcoin Mission:包裝BTC不當權限控管損失130萬美元
- The Roar:快閃貸操作損失79萬美元
- Impermax:獎勵計算捨入誤差導致流失15.2萬美元
- Zora:NFT資產因元數據操控受損14萬美元
- ACB:初始化函數未設保護被攻擊8.4萬美元
以太坊仍為駭客首選目標
各區塊鏈網絡均現安全缺口,即使成熟生態也難倖免。以太坊成為首要目標(佔總案件33.3%、共5宗)。BNB鏈也有4宗(26.7%),而Coinbase的Base方案亦錄得3宗重大攻擊(20%),新網絡受威脅日增。
麻省理工學院加密學教授Dr. Jenna Rodriguez指出:「駭客往往追逐資金集中的網絡,也會優先鎖定整合點存在漏洞的生態。以太坊TVL規模大,長期成為被攻對象,但像Base這類Layer-2新技術缺乏攻防驗證,也引來攻擊者關注。」
其他受影響網絡包括Arbitrum、Solana、Sonic及ZKsync,證明沒有生態能完全免疫。Solana本月雖僅一宗,但相較過去多宗大型事件已有明顯改善。
歷史背景
要全面理解4月事件嚴重性,必須參照歷史數據。Chainalysis及CipherTrace資料顯示,歷年加密貨幣因駭客損失持續攀升:
- 2019年:3.7億美元
- 2020年:5.2億美元
- 2021年:32億美元
- 2022年:38億美元
- 2023年:17億美元
- 2024年:14.9億美元
- 2025年(1-4月):17.4億美元
今年增勢預計或超越2022年記錄,當年Terra/Luna暴雷引發鏈上骨牌效應,生態風險空前。
「現時最大憂慮是大規模駭客攻擊竟然發生在市場平穩期。」Aave前安全主管Michael Lewellen指:「2022年市場混亂及清算連鎖才是非常態,但今次在市況正常情況下仍屢屢得手,說明協議本身有深層漏洞。」
2025年第一季:為4月危機鋪路
4月爆發建立在第一季已十分嚴重的基礎上。年初Bybit交易所因多個熱錢包私鑰失陷,單次被盜14.6億美元,成為加密史上最大宗之一。雖並非DeFi攻擊,但反映整個加密生態託管方案依然脆弱。
另外一季度重大事件包括:
- Infini Protocol:三平台套利漏洞致損失5,000萬美元
- zkLend:快閃貸操控抵押品價值盜走950萬美元
- Ionic:社交工程取得權限功能盜走850萬美元
加上4月情況,整個行業面對著對高度複雜攻擊日益束手無策的困境。
攻擊手法進化
安全研究發現,2024及2025年攻擊手法明顯趨於多樣與複雜。過去多針對管理權限、硬編碼金鑰或簡單的重入漏洞。現時則著力於協議設計的數學假設,而非僅是實現錯誤。
MIT數字貨幣創新中心主任Dr. Neha Narula解釋:「現代DeFi攻擊更常針對協議設計核心的數學假設。駭客會在不同協議間找出臨界點、短暫失衡,以及交互細節上的漏洞。」
近月常見攻擊模式包括:
零知識證明漏洞
ZK-rollup及隱私解決方案流行,針對其密碼學基礎構建攻擊日增。ZKsync四月損失500萬美元,說明再嚴謹的理論亦可能因實現而留下破綻。
跨鏈橋樑攻擊
多年警告無阻橋樑協議屢被攻擊。UPCX本月損失7,000萬美元,加上Wormhole(3.2億)、Ronin(6.2億)、Nomad(1.9億)過去案例,橋樑長期成為高危重災區。
預言機操控
價格預言機攻擊手法日漸精細,駭客可透過多平台複雜操作,短時間內扭曲市場價格數據。
治理機制攻擊
雖4月未明顯發生,但協議治理機制被攻擊風險與日俱增。近月操作已見攻擊者以快閃貸等手段,暫時掌控投票權並操縱決策過程。
行業回應:加密產業積極應對
面對日益嚴峻的安全局勢,加密產業非坐以待斃,已見多種制度性反應:
審計標準升級
主要審計公司如Trail of Bits、OpenZeppelin、Consensys Diligence等,正發展涵蓋範圍更廣的方法學,除代碼審查外更納入經濟攻防模擬及形式化驗證等措施。 Sure! Here’s the translation according to your guidelines:
「我哋見到而家啲協議請求嘅審計,比起一年前要求更加徹底細緻,」保安公司 Ottersec 創辦人 Yan Michalevsky 報導道。「依家啲項目通常都會進行多次獨立審計,合適嘅情況下仲會做形式化驗證,同埋喺部署之前進行經濟模擬。」
保險方案
鏈上保險協議,例如 Nexus Mutual 同 InsurAce,已經擴大咗佢哋嘅保障選項,但由於索償次數越嚟越多,保費亦都大幅上升。去到2025年5月,大約有五億美金嘅 DeFi 資產係有某種形式嘅漏洞保障,但都只係佔 DeFi 全部 TVL 少過百分之一。
Bug Bounty 獎金升級
Immunefi 報告指,Bug Bounty 獎金平均每年上升咗64%,而家針對重大漏洞嘅最高獎金經常超過一百萬美金。2025年3月,一位白帽黑客因為搵出 Uniswap V4 嘅重大漏洞,獲得咗250萬美金,係加密貨幣歷史上最大額嘅 Bug Bounty 獎金。
監管機構關注
全球各地監管機構都留意到呢場保安危機。歐盟市場加密資產(MiCA)框架喺2025年初全面實施,而家要求歐洲地區運作嘅 DeFi 協議必須符合最低安全標準。
至於美國,證券交易委員會(SEC)已經用安全漏洞作為額外理由,對被認為有發行無牌證券嘅協議採取執法行動。SEC 主席 Gary Gensler 最近表示:「呢啲駭客入侵發生得咁密,正正顯示投資者保障應該延伸至呢啲新型金融產品。」
技術防護:前路
保安專家普遍認為,以下幾項技術改進對解決 DeFi 漏洞核心成因至關重要:
形式化驗證
形式化驗證技巧,係用數學方法證明代碼符合規格,喺用於核心協議組件時愈來愈被視為必要。雖然資源消耗大,但形式化驗證可以幫手消除一大類漏洞。
「業界需要超越單靠審計然後發佈嘅模式,向數學上經過驗證嘅安全保證進發,」Zeppelin Solutions 創辦人 Manuel Araoz 提出。「對於處理用戶資金以十億美元計算嘅協議,除咗形式化驗證,冇得妥協。」
分散式安全監控
可以偵測異常交易模式嘅運行時監控系統開始受注目。好似 Forta Network 呢啲協議,提供分散式監控,可以跨多條鏈標記可疑行爲,有機會加速突發事件應變。
時間鎖定同緊急斷路器
強制要求重大資金流動有延遲,或者喺出現異常情況時自動暫停協議運作,可以減低將來漏洞事件嘅影響。
標準化保安框架
多個行業組織正研發專為 DeFi 設計嘅標準化保安框架,包括 Open Zeppelin 嘅 DeFi Security Alliance 以及 Ethereum Foundation 嘅 Smart Contract Security Consortium。
創新同保安之間的平衡
2025年4月嘅漏洞損失數字,足以提醒大家,加密貨幣嘅安全挑戰依然嚴峻。今年累計損失已經達到十七億四千萬美元,超過咗2024年全年,呢個行業而家去到一個生死關頭。
「DeFi 面對嘅根本挑戰,其實唔係技術問題,而係文化問題,」Dr. Narula 總結道。「呢個行業一向將創新速度放喺安全之上,除非呢個取態改變,否則呢啲負面新聞會繼續出現。」
要令 DeFi 真正普及同吸引機構參與,安全措施必須成熟到配合佢哋所承擔嘅巨大金融責任。推動加密貨幣高速發展嘅無許可式創新,必須同適用於管理用戶十億資金嘅嚴謹保安措施取得平衡。
隨住行業踏入2025年第二季度,大家都會關注,協議可唔可以喺唔影響 DeFi 開放性同可組合性嘅前提下,實施更強嘅保安措施。呢場技術同文化挑戰嘅結果,將會決定去中心化金融會唔會成為一個變革性全球金融系統,定係永遠處於被攻擊嘅風險之下。