加密货币平台在2025年九月因黑客攻击损失了1.27亿美元,标志着比上月下降了22%,但仍然是安全研究人员描述为数字盗窃史上最糟糕的年份之一。
需要知道的事情:
- 九月有大约20起重大加密攻击,损失总计1.27亿美元,相比八月的1.63亿美元有所下降,但仍显示了行业关键漏洞。
- 最大的一次漏洞涉及UXLINK,其通过钱包操作和在Arbitrum上的代币铸造攻击损失了4400万美元。
- 仅在2025年上半年,超过31亿美元的加密货币被盗,超过了整个2024年的损失,突出了持续的安全失败。
重大漏洞针对多个平台
区块链安全公司PeckShield上月发现了大约20起重大加密攻击。从八月的数据下降给跟踪行业日益增加损失的分析师带来了微薄的安慰。
UXLINK在当月遭遇最大的漏洞,损失了4400万美元。攻击者于9月22日首次袭击该社交Web3项目,瞄准其多重签名钱包以剥离管理控制并提取1130万美元。随着黑客在Arbitrum网络上铸造数十亿个新的UXLINK代币,攻击继续进行,流通供应几乎翻倍。代币价格崩溃超过70%。包括Upbit在内的交易所冻结了一些资产,但大部分被盗资金仍存放在黑客控制的钱包中。
瑞士财富管理平台SwissBorg通过供应链妥协记录了大约4150万美元的损失。黑客利用了管理Solana质押操作的第三方服务提供商Kiln。
该漏洞使攻击者能够通过在似乎是常规解除质押交易中隐藏恶意代码来控制近193,000个SOL。
钓鱼行动于9月2日针对Venus贷款平台,导致约1300万美元的损失。受害者加入了一场他们认为是合法的Zoom会议,从而使攻击者能够破坏其设备并修改钱包凭证。Venus暂时暂停运营并清算攻击者的位置以收回被盗资产。
九月的其他事件包括Yala稳定币协议的760万美元攻击以及GriffAI的300万美元漏洞。
了解加密安全漏洞
多重签名钱包需要多个私钥来授权交易,理论上分配安全责任于多方。当攻击者突破这些系统时,他们通常通过社交工程或利用管理权限结构中的漏洞来获取控制。
供应链攻击针对受信任的第三方服务提供商而不是主要平台。由于用户假设在与已建立的中介合作时其资金仍然安全,因此这些漏洞特别具破坏性。钓鱼方案是通过模仿合法商业互动的虚假通讯诱使用户透露凭据或授予访问权限。
代币铸造攻击利用智能合约代码中的漏洞来创建未经授权的新代币,稀释现有持有并导致市场价格崩溃。随着攻击者发现平台在代码审查过程中的不足之处,该技术变得越来越普遍。
今年表现创纪录的犯罪活动
九月的下降在一个安全研究人员已经将其评为行业最糟糕的年份中几乎没有带来任何实际减轻。区块链安全公司Hacken报告称,2025年上半年窃贼偷走的加密货币超过31亿美元。该数字超过了2024年的总数28.5亿美元。第一季度的Bybit交易所漏洞据分析师称占到了其中15亿美元的损失,通过大规模访问控制失败实现。
安全专家指出,驱动损失的两个持续存在的问题是:攻击者继续利用开发团队在安全检查中忽视的后门和特权访问点。用户仍然容易受到完全绕过技术保障的社交工程策略的攻击。行业分析师警告称,若不在访问控制系统、独立安全审计和用户教育计划上进行大量投资,九月份的短暂减少可能毫无意义。这一年趋势表明,针对加密货币平台的犯罪活动将继续创下纪录。
最终想法
尽管九月窃取活动有所下降,但加密货币行业依然面临着日益严重的安全挑战。访问控制中的持续漏洞和社交工程攻击的持续成功表明,这是系统性的问题,暂时性的改进无法掩盖。