2025年4月加密貨幣損失暴增1,100%，比特幣3.31億美元被盜

2025年4月成為加密貨幣安全的關鍵拐點，區塊鏈安全公司CertiK指出，本月因駭客攻擊、詐騙及漏洞導致的總損失飆升至3.64億美元。

這意味著，比3月的2,900萬美元，成長高達1,163%。這波損失激增主要因一宗針對美國高齡者的釣魚詐騙，遭竊3,520枚比特幣、價值3.307億美元。

這起於4月30日發生的大案，如今已成歷史第五大加密貨幣盜竊事件，僅次於Poly Network（6.1億美元，2021年）與Coincheck（5.3億美元，2018年）等知名事件。本案凸顯社交工程詐騙手法日益成熟與有效，專門鎖定高資產持有者。

CertiK調查證實，受害者為年長者，其私有錢包安全因高階釣魚手法被突破，這種手法攻擊人性，非技術性弱點。

四月加密安全崩潰剖析

即使不計入3.307億美元的釣魚失竊，4月份剩餘損失仍有3,400萬美元，較3月增加21%，令人憂慮。Immunefi的分析指出，2025年至今整體損失達17.4億美元，是去年同期4.2億的四倍，且已超過2024全年總損失（14.9億美元）。

攻擊向量與弱點模式

本月損失數字雖以大規模釣魚為主，但其他攻擊手法亦造成損害：

社交工程攻擊：心理操控技術愈來愈普遍，詐騙者製造緊急感、恐懼、信任或好奇心，讓受害者在來不及判斷前便採取行動。

存取控制漏洞：權限系統弱點已成加密安全的主攻向量，2024年這類漏洞占所有駭客事件75%，此趨勢2025年仍持續。

價格操縱漏洞：多個DeFi協議被複雜的預言機操控攻擊，攻擊者藉調整資產價格抽取價值。

DeFi脆弱性集中：4月所有損失悉數集中於DeFi領域，15宗事件占全部損失，集中式金融（CeFi）並無個案。

鏈上攻略與攻擊偏好

分析不同區塊鏈生態系的攻擊事件可看出駭客偏好：

以太坊與BNB Chain於2025年4月最常遭攻擊，占總損失六成。以太坊事件最多，占整體33.3%；BNB Chain受攻四次，占26.7%。

其他受害鏈包括Base、Arbitrum、Solana、Sonic、ZKsync，本月皆有至少一起安全事件。

重大事件與挽回進展

儘管損失數驚人，加密社群在追回資產方面展現韌性。

逾1,800萬美元失竊資產已被白帽及部分配合的攻擊者合力追回。

KiloEx交易所復原

去中心化交易所KiloEx因4月初遭750萬美元攻擊暫停運作，平台緊急應對並與駭客協調，4天後（4月15日）全額收回。

此案顯示，交易所藉迅速行動與懸賞，有效減損損失的趨勢日益明顯。

ZKsync協會空投合約修復

ZKsync協會成功追回因空投發放合約漏洞而損失的500萬美元。

該事件凸顯代幣發放流程，涉及複雜智能合約互動，常存潛在風險未被察覺。

Loopscale部分資金取回

DeFi協議Loopscale與攻擊者協商後，取回4月26日價格操控攻擊失竊的570萬美元中的50%。駭客利用RateX PT代幣報價機制提取USDC及Solana（SOL）。

此案展現協議方與攻擊者間，事後複雜談判的實例。

UPCX平台外洩

開源平台UPCX本月遭最大協議級資安事件，損失7,000萬美元。

該事件和KiloEx攻擊占4月非釣魚案件損失大宗，顯示單一重大事件即可大幅影響單月安全統計。

2025年加密安全威脅演化

2025年4月與2024年底加密損失下降的趨勢形成強烈對比。

2024年12月僅錄得2,860萬美元損失，11月6,380萬、10月1.158億，原下降情勢如今急劇反轉。

歷來重大加密盜竊事件回顧

本次3.307億美元釣魚案已列入史上重大加密失竊清單：

1. Mt. Gox（2014年）：日本交易所，曾處理全球70%比特幣，損失85萬BTC（時值約4.5億美元），造成倒閉，引爆早期危機。

2. Poly Network（2021年）：此DeFi平台跨鏈協議被駭6.1億美元，駭客自稱「道德」黑客，最終歸還資金。

3. Coincheck（2018年）：日本交易所因安全疏漏，失竊5.3億美元NEM代幣，多數資金未尋回。

4. 2024年2月Bybit事件：仍為2025年最嚴重月，單月損失15.3億美元，主因北韓Lazarus Group發動的Bybit失竊（14億美元），為史上最大宗加密駭客案。

4月資安事件顯示，加密威脅情勢數項重要轉變：

從技術漏洞轉向社交工程

雖智能合約與系統弱點仍是憂慮，但4月大規模釣魚案已顯示攻擊者轉向社交工程，因人性心理脆弱成為最易突破環節。此趨勢如資安領域歷來的經驗：釣魚詐騙長期穩居攻擊首位。

加密詐騙中的社交工程，利用人性弱點，製造假象取信受害者或釋放緊急感，迫使其在未能審慎判斷下採取行動。

私人錢包的弱點

4月釣魚案規模與手法充分證明，即使是私人（非託管）錢包也難敵精心規劃的詐騙，顛覆了長期以來「自託管更安全」的觀念。

隨著攻擊手法精進，私人錢包的安全愈來愈依賴用戶本人的資安意識和操作習慣。

年長與非技術族群日益受威脅

本案受害者為高齡人士，突顯此類持有大量加密資產、技術力較弱與警覺意識不足的族群，面臨更高風險。

隨加密普及，攻擊者鎖定這類弱勢用戶的趨勢顯見。

資安建議

2025年4月慘痛數字凸顯提升全體生態系安全措施的必要性：

給個人持有者

1. 啟用多重驗證：除了密碼，還須加上硬體金鑰或認證App，保護所有加密相關帳號。

2. 重要資產冷錢包儲存：大筆加密資產應離線存於冷錢包，僅即時交易時使用熱錢包。 needs.

3. 驗證所有通訊：對所有未經請求的通訊都應保持高度懷疑，尤其是那些營造緊急感的訊息。請務必仔細檢查網址以驗證網站真偽，並透過書籤進入重要的加密貨幣服務網站，而非直接點擊連結。

4. 定期安全審查：定期檢查錢包連接、已授權應用程式與交易簽署權限，主動辨識並撤銷任何不必要的存取權限。

For Projects and Protocols

1. 定期獨立安全審查：在推出新功能或智能合約前，須執行強制性的第三方安全審查，並且建立長期合作的審查關係，而非只進行一次性的審查。

2. 漏洞獎勵計畫：維持高額的漏洞獎勵計畫，獎勵白帽駭客在漏洞遭濫用前，主動發現並回報安全問題。

3. 斷路器與交易限額：導入自動斷路器機制，當偵測到異常交易行為時，能暫停作業，並針對高於一定門檻的資金調動設立需額外驗證的交易限額。

4. 用戶教育倡議：開發完善的教育資源，協助用戶識別並避免常見詐騙與安全陷阱。

2025 年 4 月加密貨幣損失激增，尤其是創紀錄的網路釣魚攻擊，堪稱數位資產安全的分水嶺。隨著加密貨幣生態系吸引越來越多主流用戶，其安全挑戰也從以往以技術性漏洞為主，逐漸轉變為以攻擊人性弱點的高度社交工程手法為主。

產業如何因應這波威脅態勢的轉變，將是決定加密貨幣能否成為主流金融系統關鍵。加強安全措施、提升用戶教育，以及建立更完善的資產恢復機制，都將在打造更具韌性的生態系中扮演關鍵角色。