2025年九月,加密貨幣平台因駭客攻擊損失達1.27億美元,雖較上月減少22%,但資安研究人員形容這仍是產業史上最嚴峻的數位竊盜年份之一。
重點摘要:
- 九月約有20起重大加密漏洞,損失達1.27億美元,雖較八月的1.63億美元下降,但仍突顯產業弱點。
- 單一最大損失案為UXLINK,因錢包操控及在Arbitrum進行代幣鑄造攻擊,損失4,400萬美元。
- 2025年上半年加密資產竊盜超過31億美元,已超越2024年全年損失,凸顯資安問題未解。
大型駭侵針對多個平台
區塊鏈資安公司PeckShield指出,上月約有20起重大加密漏洞。雖數據較八月下降,但對於觀察產業損失攀升的分析師來說,並無多少安慰。
UXLINK遭遇本月最大損失,損失4,400萬美元。攻擊者在9月22日首次入侵該Web3社群專案,鎖定其多重簽章錢包,奪取管理控制權並盜走1,130萬美元。隨後又在Arbitrum網路鑄造數十億顆新UXLINK代幣,流通供給幾近倍增,價格暴跌超過七成。包括Upbit在內的交易所凍結部分資產,但大部分失竊資金仍掌握在攻擊者錢包內。
瑞士財富管理平台SwissBorg,也因供應鏈遭滲透損失約4,150萬美元。駭客利用第三方服務商Kiln控管的Solana質押進行攻擊。
此事件讓攻擊者能掌握近19.3萬顆SOL,將惡意程式藏於看似例行的解除質押交易中。
另一網釣事件於9月2日針對Venus借貸平台,導致約1,300萬美元損失。受害者誤以為參加合法的Zoom會議,實則遭攻擊者竊取裝置存取權並更改錢包憑證。Venus暫停營運,並清算攻擊者部位試圖回收損失。
其他九月事件還包括Yala穩定幣協議被攻擊損失760萬美元,與GriffAI被竊取300萬美元。
認識加密資安漏洞
多重簽章錢包需多組私鑰同意交易,理論上可分散資安責任。但一旦遭駭,通常是藉由社交工程或管理權限結構漏洞取得控制。
供應鏈攻擊則針對值得信賴的第三方服務商,並非主平台本身。這類攻擊特別具破壞性,因為用戶相信與知名中介合作時資產是安全的。網釣詐騙則誘使用戶洩漏憑證,或通過冒充合法商業交流騙取存取權。
代幣鑄造攻擊則利用智能合約中的漏洞,非法創建新代幣,稀釋原有持有者,壓低市場價格。隨著攻擊者發現審核機制不足的平台,這種手法日益普遍。
今年竊盜活動創新高
儘管九月損失下降,資安研究人員仍認為今年是行業史上最嚴重的一年。另一資安公司Hacken報告,2025年上半年失竊加密資產已超過31億美元,突破去年全年度28.5億美元紀錄。今年第一季Bybit交易所因權限控管失當,單案損失達15億美元。
資安專家認為造成損失的兩大主因在於開發團隊常忽視的後門與高權限存取點,以及用戶面臨可繞過技術防護的社交工程手法。分析師警告,若不大量投資於權限控管、做獨立資安審計和加強用戶教育,今年九月短暫的失竊減少意義不大,全年加密產業將很可能持續新增竊盜紀錄。
最後觀察
儘管九月盜竊案略有減緩,加密貨幣產業安全挑戰依然加劇。權限控管漏洞與社交工程攻擊的持續成功,顯示結構性問題未解,短暫改善無法掩蓋根本隱憂。