根據區塊鏈安全公司 Hacken 的一份綜合新報告,2025 年上半年就有超過 31 億美元的數字資產被盜,加密行業持續面臨前所未有的安全漏洞。
損失主要由接管控制漏洞、過時的代碼庫和不斷增長的 AI 驅動攻擊推動,已超過2024年全年總額28.5億美元,表明隨著全球範圍內的Web3採用,安全危機正在加劇。
Hacken 的調查顯示,特別是在人的層面和流程設計中的安全性上,DeFi 和 CeFi 系統中持續存在的結構性弱點,現已超越加密安全的缺陷成為主要的攻擊向量。雖然2月的15億美元 Bybit 攻擊可能是統計外的異常情況,但該報告強調,多數損失源於可預防的缺陷,通常與過時的代碼、錯誤配置的許可權或未受保護的 API 有關。
接管控制漏洞——當授權不足的代理因許可權設置過於薄弱而獲得特權功能控制時發生——2025年造成了估計59%的被盜資金。Hacken 報告這相當於在數十起事件中損失了大約18.3億美元的價值。
這一趨勢反映了2024年,類似的控制層面弱點主導了攻擊紀錄。然而,該攻擊的規模和複雜性在2025年加速,其中幾次大規模入侵針對過時的智能合約和去中心化協議中的過時管理邏輯。 “如果項目不能完全暫停其舊版或遺留代碼庫,則必須關注它們,”Hacken 的取證和事件回應主管 Yehor Rudytsia 說。 “許多協議仍暴露於被認為已經廢棄的版本中的管理功能。”
Rudytsia 舉了 GMX v1 的例子,其中遺留合約架構中的漏洞在 2025 年第三季度被積極利用 - 在協議轉向新版本開發之後很久。
DeFi 和 CeFi 平台繼續流失
合併來看,去中心化金融 (DeFi) 和中心化金融 (CeFi) 平台今年由於運營和安全缺陷產生了超過18.3億美元的損失。Q2中最嚴重的事件是Cetus協議攻擊,僅15分鐘內就導致2.23億美元的損失,從而使此季度成為2023年初以來最糟糕的DeFi季度,結束了長達五個季度的黑客量下降趨勢。
根據 Hacken 的分析,Cetus 攻擊者使用了一個利用其流動性池計算中的溢出檢查缺陷的閃電貸攻擊。通過在264個池中開設了一系列微型頭寸,攻擊者淹沒了系統,並在不觸發即時安全機制的情況下排空大量流動性。
“如果 Cetus 實施了一個具有自動暫停門限的動態 TVL 監控系統,我們估計可以保留 90% 的被盜資金,”Hacken在報告中寫道。
此事件也改變了 Q2 的攻擊類型分佈。儘管接管控制失敗降到了1400萬美元——自 2024 年第二季度以來的最低水平,但智能合約漏洞卻激增,表明儘管許可權錯誤長期占主導地位,代碼層面的問題仍然構成重大風險。
AI 和 LLMs 引入新的攻擊向量
Hacken 2025 年報告中最令人擔憂的發現之一是與 AI 相關的加密安全事件急劇增加。與大語言模型 (LLMs) 和 AI 集成的 Web3 基礎設施相關的漏洞與2023年相比飆升了1,025%,大多數攻擊目標是不安全的用於連接鏈上邏輯和鏈下智力系統的 API。
分析的 AI 相關事件中:
- 98.9%的 AI 相關漏洞涉及暴露或錯誤配置的 API。
- 2025年增加了五個與 LLMs 相關的新公共漏洞和暴露 (CVEs)。
- 34% 的 Web3 項目現在在生產環境中部署 AI 代理,這使它們成為越來越有吸引力的目標。
這些攻擊突出顯示了Web2漏洞和Web3基礎設施之間越來越多的重疊,特別是在加密平台急於將機器學習集成到交易機器人、DAO、客服系統和自動代理的情況下。
“傳統安全框架落後了,”Hacken 写道,指的是诸如 ISO/IEC 27001 和 NIST 網絡安全框架等標準,這些標準尚未適應以應對像提示注入、模型幻覺和數據中毒等 AI 特定威脅。
Rug Pulls 和詐騙仍然是主要問題
除了技術漏洞之外,加密領域仍然受到社交工程攻擊、詐騙計劃和所謂的"拉地毯"的困擾——即在吸引投資者資金後消失的項目。
雖然這些事件在技術上很難量化,但 Hacken 估計,非技術性損失(包括詐騙)貢獻了大約 7.5 億美元的額外資本外流,來自於2025年零售和機構投資者。
今年最大一次拉地毯事件涉及到一個DeFi收益聚合器在BNB鏈上,開發者通過操縱的合約邏輯轉移了6200萬美元用戶資金,然後刪除所有項目通訊渠道並下線。
關鍵教訓和建議
Hacken 的報告以一系列建議結束,旨在幫助項目在不斷變化的威脅環境中減少風險暴露:
- 遺留代碼庫審查:項目必須審計和禁用保留提升許可權或管理功能的遺留智能合約。Hacken 指出,今年超過20% 的被攻擊協議仍然在使用脆弱的遺留模組。
- 動態接管控制:應用多方簽名、時間鎖和基於角色的系統取代嚴格的白名單或僅限管理員的功能,來應對威脅等級的變化。
- 實時監控和自動暫停系統:實施鏈上遙測和實時 TVL 流動警報,防止閃電貸攻擊期間資金的快速流失。
- AI 風險控制:使用 LLM 的項目必須建立輸入消毒、審計日誌,並限制對敏感鏈上功能的訪問。開放式代理框架必須在沒有嚴格 API 白名單和響應驗證的情況下部署。
- 用戶教育:錢包層面的安全性仍然薄弱。提高硬件钱包使用率,禁用盲簽名,並實施交易模擬可以減少來自網絡釣魚活動的私鑰侵害。
安全再也不是選項
隨著加密採用擴展到主流金融系統和機構基礎設施,安全再也不是次要問題——它是 Web3 長期可行性的基石。
當攻擊者從技術漏洞演化到流程層次操控和 AI 利用,對主動、自適應和綜合安全標準的需求比以往任何时候都更加緊迫。
如果當前趨勢繼續下去,2025 年將成為加密安全史上最耗資的一年,行業需要解決其最薄弱的環節——從過時的智能合約到不安全的機器學習集成。
“加密正在進入一個人為錯誤、設計不良和 AI 利用比以往任何時候都更重要的時代,”Rudytsia 總結道。“那些在這個時代生存下來的協議將是那些將安全視為核心產品而非發布後思考的協議。”