加密货币盗窃现状
根据区块链安全审计公司Hacken的报告,2025年迄今为止,因智能合约漏洞、访问控制缺陷、拉地毯式诈骗及其他骗局,超过31亿美元的加密货币被盗。这一数字已超过2024年全年总损失的28.5亿美元。尽管2025年第一季度Bybit发生的15亿美元黑客事件可能是个别案例,但整个加密行业仍面临重大挑战。
损失类型的分布与2024年的趋势基本一致,访问控制漏洞是损失的主要原因,占总损失的约59%。智能合约漏洞造成了约8%的损失,共计2.63亿美元。Hacken的取证与事件响应负责人Yehor Rudytsia在接受Cointelegraph采访时表示,他们观察到GMX V1的显著被利用,其过时的代码库自2025年第三季度开始成为攻击目标。Rudytsia指出:“项目必须关注其旧的或遗留的代码库,尤其是在它们没有完全停止运营的情况下。”
攻击手法的演变
随着加密领域的成熟,攻击者的重点已从利用技术缺陷转向针对人类和流程层面的弱点。这些复杂的攻击手法包括盲签名攻击、私钥泄露和复杂的网络钓鱼活动。这一不断演变的格局突显了一个关键的脆弱性:尽管技术保障不断增强,访问控制在加密领域仍然是最不发达且风险最高的领域之一。
去中心化金融(DeFi)和智能合约的脆弱性
操作安全缺陷是损失的主要原因,在去中心化金融(DeFi)和中心化金融(CeFi)平台上共计被盗18.3亿美元。第二季度的突出事件是Cetus黑客攻击,仅在15分钟内就盗走了2.23亿美元,标志着DeFi自2023年初以来最糟糕的季度,并终止了与漏洞相关的损失连续五个季度的下降趋势。
在此之前,2024年第四季度和2025年第一季度,访问控制失败占主导地位,掩盖了大多数基于漏洞的攻击。然而,本季度DeFi中的访问控制损失降至仅1400万美元,为2024年第二季度以来的最低水平,尽管智能合约漏洞却激增。Cetus攻击利用了其流动性计算中的溢出检查漏洞。攻击者使用闪电贷开设小额头寸,然后在264个池中进行清算。根据Hacken的说法,如果实施了实时总锁定价值(TVL)监控和自动暂停功能,最多可挽回90%的资金。
人工智能对加密安全的威胁
人工智能(AI)和大型语言模型(LLMs)已深度融入Web2和Web3生态系统。虽然这种整合激发了创新,但也扩大了攻击面,引入了新的和不断演变的安全威胁。与2023年相比,AI相关的攻击激增了1025%,其中惊人的98.9%与不安全的API有关。
此外,五个主要的AI相关常见漏洞和暴露(CVE)被添加到列表中,34%的Web3项目现在在生产环境中部署AI代理,使其成为攻击者日益增长的目标。传统的网络安全框架,如ISO/IEC 27001和NIST网络安全框架(CSF),无法有效应对AI特有的风险,如模型幻觉、提示注入和对抗性数据污染。这些框架必须发展,以提供全面的治理,涵盖AI带来的独特挑战。
