到 2025 年加密货币攻击超过 31 亿美元， 因接入控制缺陷和 AI 威胁增加

根据区块链安全公司 Hacken 的一份全面新报告，2025 年上半年，数字资产盗窃已超过 31 亿美元，表明随着 Web3 全球采用率的增加，安全危机正在恶化。

此次损失主要由接入控制漏洞、过时的代码库和日益增长的 AI 驱动的攻击所驱动，已超过 2024 年全年 28.5 亿美元的总损失。

Hacken 的调查结果显示，DeFi 和 CeFi 系统中存在持久的结构性弱点，特别是在人员和流程级别的安全性方面，这些问题现已超越加密漏洞成为主要攻击途径。尽管 2 月份的 15 亿美元 Bybit 攻击等重大事件可能是统计上的异常值，但报告强调，大部分损失源于可预防的缺陷，通常与过时代码、配置错误的权限或未受保护的 API 相关。

Hacken 报告称，接入控制漏洞 - 当未经授权的行为者由于权限设置弱而获得特权功能控制时发生的情况 - 占 2025 年所有盗窃资金的 59%，约合 18.3 亿美元的收益损失。

这种趋势与 2024 年相似，其中类似的控制层弱点在攻击数据中占据主导地位。然而，2025 年攻击规模和复杂性加速，数起大规模入侵瞄准遗留智能合约和去中心化协议中的陈旧管理逻辑。“项目必须关注其旧代码库或遗留代码库是否未完全停止运行，”Hacken 的法务和事件响应部门负责人 Yehor Rudytsia 说道。“许多协议仍然允许从被认为已弃用的版本中执行管理功能。”

Rudytsia 举例说明 GMX v1，在此协议的遗留合约结构中的漏洞在 2025 年第三季度被积极利用——即便协议已经转向更新版开发。

DeFi 和 CeFi 平台继续蒙受损失

总体而言，由于运营和安全缺陷，去中心化金融 (DeFi) 和中心化金融 (CeFi) 平台今年损失超过 18.3 亿美元。第二季度最重大的事件是 Cetus 协议攻击，仅在 15 分钟内造成了 2.23 亿美元的损失，是自 2023 年初以来最坏的 DeFi 季度，结束了黑客攻击量下降五个季度的趋势。

根据 Hacken 的分析，Cetus 攻击者利用了流动性池计算中存在缺陷的溢出检查来发起闪贷攻击。通过在 264 个池中开设了一系列微型头寸，攻击者压垮了系统并在未触发实时安全机制的情况下抽走了大量流动性。

“如果 Cetus 引入动态 TVL 监控系统并设置自动暂停阈值，我们估计可以保留 90% 的被盗资金，”Hacken 在报告中指出。

此事件还改变了第二季度攻击类型的分布。尽管访问控制失败下降到 1400 万美元 - 是自 2024 年第二季度以来的最低水平 - 但智能合约错误激增，表明尽管许可缺陷长期占主导地位，但代码级问题仍然存在严重风险。

AI 和 LLMs 引入新的攻击向量

Hacken 2025 年报告中一个最令人担忧的发现是与 AI 相关的加密货币安全事件激增。与大语言模型 (LLMs) 和 AI 集成 Web3 基础设施相关的攻击与 2023 年相比激增了惊人的 1,025%，其中大多数攻击都瞄准了不安全的用于连接链上逻辑与链下智能系统的 API。

在分析的与 AI 相关的事件中：

• 98.9% 的 AI 相关漏洞涉及暴露或配置错误的 API。
• 在 2025 年新增了五个与 LLMs 相关的常见漏洞和暴露 (CVEs)。
• 34% 的 Web3 项目现在在生产环境中部署 AI 代理，使它们成为越来越有吸引力的攻击目标。

这些攻击突显出 Web2 漏洞和 Web3 基础设施之间日益重叠的现象，尤其是在加密平台争相在交易机器人、DAO、客户支持系统以及自主代理中集成机器学习的情况下。

“传统的安全框架正在落后，”Hacken 写道，指的是 ISO/IEC 27001 和 NIST 网络安全框架等标准，这些标准尚未适应应对 AI 特定威胁，如提示注入、模型幻觉和数据中毒。

Rug Pull 和骗局仍然是一个主要问题

除了技术漏洞外，加密领域还不断遭受社会工程攻击、欺诈计划和所谓的“Rug Pull” - 在吸引投资者资金后消失的项目的困扰。

尽管从技术上讲这些事件很难量化，但 Hacken 估计，包括骗局在内的非技术损失贡献了约 7.5 亿美元的额外资本外逃，来自 2025 年的零售和机构投资者。

今年最大的单次 Rug Pull 事件涉及 BNB Chain 上的一个 DeFi 收益聚合器，开发人员通过操作合约逻辑窃取了 6200 万美元的用户资金，然后删除了所有项目通信渠道并下线。

关键教训和建议

Hacken 的报告以一系列建议结束，旨在帮助项目在不断变化的威胁环境中降低风险暴露：

• 旧代码库审查：项目必须审计和禁用具有高权限或管理功能的旧智能合约。Hacken 指出，今年超过 20% 的受攻击协议仍在使用易受攻击的旧模块。

• 动态访问控制：应用多签、时间锁和基于角色的系统替换刚性白名单或仅限管理员的功能，以适应不断变化的威胁水平。

• 实时监控和自动暂停系统：使用链上遥测和实时 TVL 运动警报防止在闪贷攻击期间快速抽干资金。

• AI 风险控制：使用 LLMs 的项目必须建立输入净化、审核日志，并限制对敏感的链上功能的访问。开放式代理框架不得在没有严格的 API 白名单和响应验证的情况下部署。

• 用户教育：钱包级别的安全仍然较弱。推广硬件钱包的使用、禁用盲签名和实施交易模拟可以减少网络钓鱼活动导致的私钥泄露风险。

安全不再是可选的

随着加密货币采用扩展到主流金融系统和机构基础设施，安全不再是次要问题 - 而是 Web3 长远发展的基础。

随着攻击者从技术漏洞演变为流程层面的操纵和 AI 利用，制定积极、适应性强、全面的安全标准的需求比以往任何时候都更加迫切。

如果目前的趋势持续下去，2025 年将成为加密安全历史上代价最高的一年，行业将需要面对其最薄弱的环节 - 从过时的智能合约到不安全的机器学习集成。

“加密正进入一个新的时代，在这个时代中人类错误、糟糕设计和 AI 利用比以往任何时候都更重要，”Rudytsia 总结道。“那些在这个时代幸免的协议将是那些将安全视为核心产品，而不是发布后的附加考虑的协议。”