虛擬資產平台於2025年九月被黑客盜走1.27億美元,雖比上月下跌22%,但資安專家形容今年仍是數碼失竊最嚴重的年份之一。
重點須知
- 九月大約有20宗主要加密貨幣攻擊,總損失為1.27億美元,雖較八月的1.63億減少,但反映行業持續存在重大漏洞。
- 其中最大單一事故涉及UXLINK,因錢包操控及Arbitrum上的代幣增發被盜4,400萬美元。
- 2025年上半年被盜加密貨幣已超過31億美元,超越2024年全年的損失,凸顯資安不足的問題。
重大攻擊針對多個平台
區塊鏈安全公司PeckShield識別出上月約20宗重大加密漏洞。即使損失較八月下跌,分析師仍對持續擴大的損失感到憂慮。
UXLINK成為九月損失最大的受害者,被攻擊4,400萬美元。黑客於9月22日首先入侵其多重簽名錢包,奪取管理權限並盜走1,130萬美元。攻擊其後延續,黑客於Arbitrum網絡增發數十億UXLINK代幣,流通量幾乎倍增,代幣價格急挫逾七成。包括Upbit在內的多個交易所雖然凍結部分資產,大部分失款依然停留在黑客掌控的錢包內。
瑞士財富管理平台SwissBorg因供應鏈被入侵損失約4,150萬美元。黑客利用第三方Solana質押服務商Kiln的漏洞入侵。
這次事故容許攻擊者控制近19.3萬枚SOL,方法是把惡意代碼隱藏在表面屬例行解除質押的交易當中。
Venus借貸平台於9月2日遭遇網釣攻擊,損失約1,300萬美元。受害者誤以為參加真實Zoom會議,結果黑客入侵其裝置並更改錢包認證資料。Venus隨即暫停平台運作並清算攻擊者持倉,以回收部分被盜資產。
九月還有其他事故,包括Yala穩定幣協議遭760萬美元攻擊,以及GriffAI發生300萬美元漏洞。
拆解虛擬貨幣的安全漏洞
多重簽名錢包需多個私鑰才能授權交易,理論上可分散安全責任。然而,一旦黑客利用社交工程或設計疏忽奪得管理權,便可輕易掌控全部資金。
供應鏈攻擊則鎖定第三方服務,不針對主平台本身。這種手法極具殺傷力,因用戶普遍相信與跨平台合作有妥善資安防護。
網釣攻擊則靠偽造商業訊息誘騙用戶提供認證或者授權訪問,讓黑客可繞過技術防線。
代幣增發攻擊利用智能合約漏洞,未經授權生成新代幣,稀釋現有持倉並拖垮市價。隨著愈多平台缺乏嚴謹程式碼審查,這種攻擊手法日益普遍。
今年犯罪活動頻創新高
雖然九月損失略為回落,但資安研究人員認為2025年依然屬史上最差之一。另一資安公司Hacken報告指,2025年上半年盜竊金額已達31億美元,超越2024年全年的28.5億。截至第一季,Bybit交易所被盜15億美元,主要由於嚴重權限控管失誤。
資安專家認為,開發團隊疏忽潛在漏洞及後門使用權限是重點問題,用戶則易受社交工程欺詐。分析師警告,除非大力投資於權限管控、獨立第三方審計及用戶教育,九月的短暫改善很可能無補於事。按目前情況,針對虛擬貨幣平台的犯罪活動勢必屢創新高。
總結
縱使九月盜竊數字稍有回落,虛擬貨幣行業依然面對持續性的安全挑戰。權限控管漏洞及社交攻擊屢見不鮮,反映問題極為根深柢固,短暫改善未能解決根本風險。