根據區塊鏈安全公司Hacken的綜合新報告,2025年加密貨幣業界持續面對前所未有的安全漏洞浪潮,僅上半年已超過31億美元數位資產被盜。
這些損失主要來自權限控制漏洞、過時程式碼基礎以及AI驅動的攻擊,已經超越2024年全年的28.5億美元總額,反映Web3全球普及下安全危機惡化。
報告指出,DeFi及CeFi系統在人的操作和流程層面持續出現結構性弱點,這些弱點現在已超越密碼學漏洞,成為主要入侵來源。雖然2025年2月的Bybit被盜15億美元等事件屬於個案,但報告強調大多數損失其實源於可預防的問題,例如過時程式碼、錯誤權限設置或未受保護API。
據Hacken指出,權限控制漏洞——即未經授權身份因弱權限設置而取得敏感功能控制——2025年佔所有資金失竊約59%,即大約18.3億美元,涉及多宗事故。
這一趨勢與2024年相當,當時同樣是控制層弱點最致命。然而,2025年攻擊規模及複雜程度進一步升級,多宗大型攻擊針對舊版智能合約及老化的管理邏輯。“項目方要關注未完全停用的舊程式碼基礎,”Hacken取證主管Yehor Rudytsia表示,“不少協議仍暴露出被棄用版本的管理功能。”
Rudytsia舉出GMX v1為例,其舊合約架構漏洞於2025年第三季遭到大規模利用,即使協議已轉移到新版本開發。
DeFi及CeFi平台資金持續外流
今年,去中心化金融(DeFi)與中心化金融(CeFi)平台因操作及安全缺陷,累積損失超過18.3億美元。第二季最嚴重事件是Cetus協議漏洞,僅15分鐘損失2.23億美元,成為自2023年初以來最嚴重的一季,終結了連續五季駭客損失下降的趨勢。
Hacken分析指,Cetus攻擊者利用閃電貸漏洞,針對流動性池計算溢位檢查錯誤,連開264個微型頭寸,壓垮系統,迅速抽乾大量流動資金,未觸發即時安全機制。
“如果Cetus設有動態TVL監控及自動暫停閾值,我們估計可挽回九成失竊資金,”報告指出。
此事故亦改變二季度漏洞類型分布。儘管權限控制失誤降至1,400萬美元——為2024年第二季以來最低——但智能合約漏洞暴增,反映長遠而言權限缺陷仍屬主因,但程式層問題同樣構成重大風險。
AI及大型語言模型帶來新型攻擊向量
Hacken 2025年報告最令人關注的是AI相關安全事故急升。涉及大型語言模型(LLM)及AI整合Web3基建的攻擊,較2023年暴增1,025%,大部分鎖定用作鏈上與鏈下智能系統串接的不安全API。
AI相關事故數據包括:
- 98.9%屬於API暴露或設定錯誤。
- 2025年新增五宗與LLM相關的通用漏洞(CVE)。
- 34% Web3項目已將AI代理部署到生產環境,攻擊目標日增。
這些攻擊突顯Web2弱點與Web3基建逐漸重疊,特別是在各大平台急於將機器學習技術整合至交易機械人、DAO、客服系統及自主代理之際。
“傳統安全框架已經追不上新形勢,”Hacken提到現行如ISO/IEC 27001及NIST網絡安全框架,未能適應AI特有風險,如提示注入、模型幻覺及數據污染等。
Rug Pull及詐騙依然嚴峻
除技術入侵外,加密行業仍飽受社工攻擊、詐騙及所謂“Rug Pull”——項目吸金後一夜消失之苦。
雖這類事件難以以技術指標量化,Hacken估計非技術因素包括詐騙案在2025年導致散戶及機構投資人額外損失約7.5億美元。
今年最大規模Rug Pull來自BNB Chain上一個DeFi收益聚合器,開發者透過操控合約邏輯轉走6,200萬美元用戶資金,然後刪除所有交流渠道且徹底失聯。
主要教訓及建議
Hacken報告最後提出多項建議,助項目團隊在威脅急劇演化環境下降低風險:
- 舊程式碼審查:必須審計並停用仍保留高權限或管理功能的智能合約。今年被攻擊項目中逾兩成與這類遺留模組有關。
- 動態權限控制:應以多簽、時間鎖及角色分級取代單一白名單或管理人制度,以配合持續變動的威脅。
- 即時監控及自動暫停:引入鏈上監控、TVL異動即時提示,阻止閃電貸等資金瞬間流失。
- AI風險控制:用LLM的項目必須落實輸入檢查、審計紀錄及敏感功能權限管理。嚴禁在未設API白名單及回應綁定驗證前濫用開放式代理框架。
- 用戶教育:錢包安全薄弱。推廣硬件錢包、禁止盲簽、落實交易模擬,有效減少魚叉式釣魚等私鑰外洩風險。
安全已經不再是可有可無
隨加密貨幣普及至主流金融及機構基建,安全問題不再是次要——而是Web3能否長遠發展的基石。
當攻擊者從技術層入侵演變至流程操控及AI挾持,業界亟需主動、具適應性及全方位的安全標準。
若目前趨勢持續,2025年將成史上損失最慘重一年,業界必須正視最薄弱環節——從過時智能合約到不安全的機器學習整合。
“加密產業正邁入新時代:人為失誤、設計疏漏與AI攻擊比以往更致命,”Rudytsia總結。“能走過這時代的協議,將是視安全為核心產品,而非事後考慮的團隊。”