2025年9月,加密货币平台损失了1.27亿美元,比上个月减少了22%,但安全研究人员仍将其描述为业内数字盗窃最严重的年份之一。
需要了解的事项:
- 九月约有20起重大加密漏洞,总计损失1.27亿美元,虽然比八月的1.63亿美元有所下降,但仍代表行业存在严重的安全漏洞。
- 最大的一次攻击涉及UXLINK,该平台在Arbitrum上通过钱包操作和代币铸造攻击损失了4400万美元。
- 仅在2025年上半年,已经盗取了超过31亿美元的加密货币,超过了2024年的全部损失,突显出持续的安全失败。
主要漏洞攻击多个平台
一家区块链安全公司PeckShield上个月识别出了约20起重大加密漏洞。尽管从八月的数据有所下降,但对跟踪该领域损失的分析师来说,这仍然没有太大安慰。
UXLINK遭遇了本月最大的一次攻击,损失4400万美元。攻击者首先于9月22日袭击了这个社交Web3项目,目标是其多签名钱包,以剥夺管理控制并抽走1130万美元。攻击还在继续,黑客在Arbitrum网络上铸造了数十亿新的UXLINK代币,流通供应几乎翻倍。代币价格暴跌超过70%。包括Upbit在内的交易所冻结了一些资产,但大部分被盗资金仍在攻击者控制的钱包中。
瑞士财富管理平台SwissBorg通过供应链攻击记录了约4150万美元的损失。黑客攻击了负责管理Solana质押操作的第三方服务提供商Kiln。
此次漏洞使攻击者能够通过将恶意代码隐藏在看似例行的解除质押交易中来控制近193,000 SOL。
一项针对Venus借贷平台的网络钓鱼操作在9月2日发生,导致约1300万美元的损失。受害者参加了他们认为是合法的Zoom会议,这使攻击者能够入侵他们的设备并更改钱包凭证。Venus暂时中止作业并清空攻击者头寸以追回被盗资产。
其他九月事件还包括对Yala稳定币协议的760万美元攻击和对GriffAI的300万美元攻击。
理解加密安全漏洞
多签名钱包要求多个私钥来授权交易,理论上将安全责任分配给多个方。当攻击者攻破这些系统时,他们通常通过社交工程或利用管理权限结构中的缺陷来获得控制权。
供应链攻击针对受信任的第三方服务提供商而非主要平台。这些攻击可能尤其破坏性,因为用户在与建立起来的中介机构合作时会认为他们的资金是安全的。网络钓鱼计划依靠诱骗用户泄露凭证或通过假装成合法业务交互的虚假通讯授予访问权限。
代币铸造攻击利用智能合约代码中的漏洞来创建未经授权的新代币,稀释现有持有量并导致市场价格崩溃。这一技术变得越来越普遍,因为攻击者找到了代码审查过程不完善的平台。
观察一年创纪录的犯罪活动
九月的下降在已经被安全研究人员列为行业最糟糕年份之一的年份中仅提供了很少的安慰。另一家区块链安全公司Hacken报告称,在2025年的头六个月里,小偷已盗走超过31亿美元的加密货币。该数字超过了2024年的总额28.5亿美元。Bybit交易所第一季度的攻击因为分析师称之为大规模访问控制失败而导致15亿美元的损失。
安全专家确定了导致损失的两个持续问题。攻击者继续利用开发团队在安全审查期间忽视的后门和特权访问点。用户仍然容易成为完全绕过技术保护措施的社交工程策略的受害者。行业分析师警告说,如果不对访问控制系统进行大规模投资、进行独立安全审计和实施用户教育计划,九月份的盗窃减少可能毫无意义。今年的趋势表明,针对加密货币平台的犯罪活动将继续创下记录。
结论
尽管九月的盗窃案件有所减少,但加密货币行业仍面临日益严峻的安全挑战。访问控制中的持续漏洞和社会工程攻击的持续成功表明系统性问题暂时的改善无法掩盖。