2025年4月,去中心化金融(DeFi)協議遭遇15起駭客入侵案件,損失金額高達9250萬美元。根據區塊鏈安全公司Immunefi的最新月度報告,這較2024年4月同比增加27.3%,並且超出2025年3月4140萬美元損失的2倍以上。
這一令人擔憂的增長也進一步強化了安全專家的共識:即使經歷多年重大攻擊與反覆警告,DeFi技術基礎依然危機四伏。4月的數字帶來更大警訊:2025年加密貨幣因駭客攻擊及漏洞損失金額已達17.4億美元,短短四個月就超越2024年全年總額14.9億美元。
「我們目睹的不僅僅是短暫的異常增加,而是去中心化協議設計、部署與維護上的根本性安全危機。」ChainSecurity首席研究員Maria Chen說道。「產業正以遠低於傳統金融審查標準的代碼,打造日益複雜的金融基礎設施。」
4月的攻擊主要針對主流區塊鏈網路,所有案件均屬於技術性漏洞,而非社交工程或詐騙類型。在15起紀錄事件中,不少案規模龐大且使用了精密攻擊手法:
UPCX協議:7,000萬美元
當月最大漏洞事件發生於跨鏈支付協議UPCX,該協議自2024年底上線以來,鎖倉總額已超過3億美元。4月12日,攻擊者發現其跨鏈訊息驗證機制存在重大漏洞。
根據區塊鏈情報公司Chainalysis的初步鑑識,這次攻擊利用了UPCX在多個EVM兼容鏈間驗證交易簽章的微妙漏洞。駭客選擇網路壅塞期間精確執行攻擊,跳過驗證程序,並同時授權多個流動性池資金的非法提取。
「UPCX案顯示,跨鏈橋仍然是整個生態系中最脆弱的基礎設施之一。」Optimism Security Labs創辦人Thomas Walton-Pocock指出。「即便Wormhole、Ronin等一連串2022年大規模橋樑駭客案後,專案方仍持續低估安全跨鏈訊息的複雜性。」
UPCX已宣布將補償受害用戶,相關細節目前尚待調查完成。
KiloEx:750萬美元
KiloEx這家專注於期權交易的去中心化交易所,於4月19日遭遇精密的預言機價格操控攻擊,損失750萬美元。攻擊者利用KiloEx某個參考市場的短暫流動性降低時機,操控KETH/ETH期權合約的價格。
他們先透過多平台協調交易,人為壓低預言機報價,再利用KiloEx的自動清算機制,在報價恢復前以極低價購入期權合約。
「預言機攻擊的操作越來越縝密。」Paradigm資深安全研究員Samczsun表示。「駭客能洞悉市場結構,協調創造不違背系統規則卻可進行跨協議套利的狀況。」
其他重大事件
剩下的4月攻擊共造成1,500萬美元損失:
- Loopscale:貸款合約重入漏洞,損失580萬美元
- ZKsync:零知識證明驗證電路缺陷,損失500萬美元
- Term Labs:智能合約互動時未檢查回傳值,失款150萬美元
- Bitcoin Mission:包裝比特幣存取控制不當,損失130萬美元
- The Roar:閃電貸操作,失款79萬美元
- Impermax:獎勵計算四捨五入錯誤,損失15.2萬美元
- Zora:NFT資產元資料被操縱,損失14萬美元
- ACB:初始化函式未保護,損失8.4萬美元
以太坊仍是主要攻擊對象
不同區塊鏈網路上的攻擊分佈顯示,即使生態系成熟,弱點仍廣泛存在。以太坊仍為攻擊主力(共5件,佔33.3%),BNB鏈4件(26.7%),而Coinbase的二層解決方案Base被植入3重大漏洞(20%),顯示這個新興網路安全壓力上升。
「駭客跟著資金走,也偏好有可利用整合點的網路。」麻省理工學院密碼學教授Jenna Rodriguez解釋道。「以太坊高鎖倉值讓其成為長期主攻目標,而像Base這類二層網路雖新,但因實作新技術、尚未實戰測試,也成了風險投射點。」
其他受攻擊的還包括Arbitrum、Solana、Sonic與ZKsync,證明無一生態圈能完全免疫資安事件。Solana本月僅發生一件,較過往多年大幅進步,當時Solana常爆發高知名度駭客案。
歷史脈絡
若要完整呈現4月事態嚴峻的程度,必須從歷史數據觀察。Chainalysis與CipherTrace資料顯示,年度加密貨幣駭客損失呈現下列發展趨勢:
- 2019年:3.7億美元
- 2020年:5.2億美元
- 2021年:32億美元
- 2022年:38億美元
- 2023年:17億美元
- 2024年:14.9億美元
- 2025年(1-4月):17.4億美元
今年損失加速上升,顯示2025年甚至可能超越2022年,當時Terra/Luna崩盤及連鎖效應造成史無前例的系統性風險。
「這波新一輪攻擊格外令人憂心,因為它們發生在市場穩定期。」Aave前資安負責人Michael Lewellen表示。「不像2022年那樣市場巨震或清算連鎖使環境異常,這些攻擊直接針對正常運作的協議得手。」
2025年第一季:鋪墊4月駭客潮
4月的攻擊事件建立在一個已極其慘烈的第一季之上。今年伊始,Bybit這家大型中心化交易所爆發加密貨幣史上規模最大的單一駭客案:駭客盜取多組熱錢包私鑰,導致Bybit損失14.6億美元。雖非典型DeFi事件,卻凸顯了整個加密圈托管方案的長期弱點。
第一季其他重要事件還包括:
- Infini Protocol:多貸款平台複雜套利攻擊,失款5,000萬美元
- zkLend:閃電貸操控抵押品價值,盜取950萬美元
- Ionic:社交工程入侵,取得重要功能控權,奪走850萬美元
綜合第一季及4月,產業正面對越來越精密的攻擊威脅,資安防禦備感吃力。
攻擊手法演變
安全研究員注意到2024到2025年攻擊手法明顯進化。早期DeFi攻擊多著重於明顯漏洞,如管理權限未設防、硬編碼金鑰,或單純的重入錯誤。如今,攻擊模式顯著提升複雜度。
「現今DeFi攻擊日益鎖定協議設計背後的數學假設,而非僅僅程式碼層級錯誤。」麻省理工數位貨幣倡議中心主任Neha Narula博士指出。「駭客會尋找經濟模型的極端案例、利用多協議間暫時失衡,或滲透原本應獨立運作系統的細微互動。」
近月常見漏洞攻擊手法包括:
零知識證明漏洞
隨著ZK-rollup以及隱私方案普及,針對基礎密碼機制的攻擊案例增加。ZKsync於4月損失500萬美元,突顯即使理論完善的系統,實作上仍可能藏有破口。
跨鏈橋樑漏洞
縱有多年警示,連接多鏈的橋樑協議仍是重災區。UPCX損失7,000萬美元只是最新案例,此前還有Wormhole(3.2億美元)、Ronin(6.2億美元)、Nomad(1.9億美元)等歷史性事件。
預言機價格操控
價格預言機攻擊日益成熟,駭客跨平台複雜操作,短暫扭曲價格資訊,製造套利空間。
治理機制攻擊
雖4月未成主流,治理機制漏洞卻逐漸成為隱憂。近期攻擊包括濫用投票權,透過閃電貸等將控制權集中到攻擊者手中。
機構回應:產業調整應對
面對越升越高的安全壓力,加密產業並未被動應對。多項機構性回應同步出現:
審計標準提升
領先的審計機構如Trail of Bits、OpenZeppelin與Consensys Diligence已開發更完整標準,評估方式從檢查代碼延伸至經濟攻擊模擬與形式化驗證。 Here is the translation following your requirements (skipping translation for markdown links):
「我們看到協議方現在要求的審計比一年前還要徹底得多,」安全公司 Ottersec 創辦人 Yan Michalevsky 表示。「現在的專案通常需要經歷多次獨立審計,適用時進行形式化驗證,並在部署前進行情經模擬。」
Insurance Solutions
鏈上保險協議如 Nexus Mutual 和 InsurAce 已擴大其保障選項,但隨著索賠頻率增加,保費也大幅調漲。截至 2025 年 5 月,約有 5 億美元的 DeFi 資產擁有某種形式的漏洞保險——但這仍然只佔 DeFi 總鎖倉價值(TVL)的不到 1%。
Bug Bounty Escalation
Immunefi 報告指出,漏洞懸賞金年增幅平均達 64%,而對於重大漏洞的最高獎金現已經常超過 100 萬美元。2025 年 3 月,一名白帽駭客因發現 Uniswap V4 的重大漏洞而獲得 250 萬美元,創下加密貨幣史上最高漏洞獎金紀錄。
Regulatory Attention
全球各地的監管機構已開始關注這波安全危機。歐盟《加密資產市場法規(MiCA)》於 2025 年初全面實施,現要求在歐洲司法管轄區內運作的 DeFi 協議須符合最低安全標準。
在美國,SEC 以安全漏洞為由,進一步對被視為未註冊證券提供者的協議採取執法行動。SEC 主席 Gary Gensler 近日表示:「這些駭客事件的頻率正好說明,為何投資人保護措施必須擴及這些嶄新的金融產品。」
Technical Prevention: The Road Forward
安全專家普遍同意,為解決 DeFi 脆弱性的根本原因,必須推動若干技術改進:
Formal Verification
形式化驗證技術,能以數學方式證明程式程式碼相符於規範,現已被視為核心協議組件必須具備的重要手段。雖然資源需求高,但形式化驗證可消除整類漏洞。
「產業需要從傳統的『審計即上線』模式,轉向數學上有保障的安全。」Zeppelin Solutions 創辦人 Manuel Araoz 指出。「對於管理用戶數十億資金的協議,沒有形式化驗證就不該被接受。」
Decentralized Security Monitoring
能偵測異常交易行為的執行時監控系統正逐漸普及。例如 Forta Network 等協議,提供去中心化的監控服務,能跨多條鏈標記可疑活動,協助更迅速地應急處理。
Timelocks and Circuit Breakers
強制延遲大量資金移動,以及在出現異常時自動暫停協議運作,有助於減輕未來攻擊事件的衝擊。
Standardized Security Frameworks
若干產業組織正在制定專為 DeFi 設計的安全標準框架,包括 Open Zeppelin 的 DeFi Security Alliance 以及以太坊基金會的 Smart Contract Security Consortium。
Balancing Innovation and Security
2025 年 4 月的漏洞數據強烈提醒:加密貨幣的安全問題依舊嚴峻。2025 年迄今的損失高達 17.4 億美元,已超過 2024 年全年,產業正面臨關鍵轉捩點。
「DeFi 的根本挑戰不是技術面,而是文化面,」Dr. Narula 總結說。「整個產業優先追求創新速度而非安全穩健,若這個平衡不改變,這些頭條新聞將會不斷出現。」
若 DeFi 要實現主流採用與機構級參與,其安全措施就必須成熟到能夠承擔協議所承接的巨額財務責任。驅動加密貨幣高速演進的開放式創新,必須與嚴謹的安全實踐並存,才能稱得上是管理數十億用戶資金的金融基礎建設。
隨著產業邁入 2025 年第二季,眾人熱切關注各項協議能否在不犧牲 DeFi 開放性與可組合性的前提下,落實更強健的安全保障。這場技術與文化雙重挑戰的結果,很可能決定去中心化金融會否成為顛覆全球的金融體系,或是永遠處於可被攻擊的高風險狀態。