根据区块链安全审计机构Hacken的报告,2025年上半年因智能合约漏洞、访问控制漏洞、Rug Pull和诈骗等问题造成的加密货币损失已超过31亿美元。
这一数字已超过2024年全年28.5亿美元的总额。尽管2月份Bybit平台遭受的15亿美元攻击可能属于个例,但整个加密行业依然面临严峻安全挑战。
损失类型分布与2024年基本一致。其中,访问控制漏洞是主要损失来源,占比约59%;智能合约漏洞占比约8%,盗取金额达到2.63亿美元。
Hacken取证与事件响应负责人Yehor Rudytsia在接受Cointelegraph采访时表示,他们注意到从2025年第三季度开始,过时的GMX v1代码库成为主要攻击目标。
Rudytsia表示:“如果旧代码库未被完全停用,项目方需关注相关风险。”
随着加密行业持续成熟,攻击者已将重点从密码学漏洞转向人为和流程层面的问题。这些复杂攻击技术包括盲签名攻击、私钥泄露及复杂的钓鱼攻击等。
行业发展突显出一个关键隐患:尽管技术防护不断增强,访问控制依然是加密行业最薄弱、风险最高的领域之一。
DeFi与智能合约暴露安全漏洞
运营安全漏洞是主要损失原因,DeFi与CeFi平台合计被盗资金达18.3亿美元。2025年第二季度最突出事件为Cetus黑客攻击,15分钟内损失2.23亿美元,创下自2023年初以来DeFi单季度最大损失,结束了连续五个季度的损失下降趋势。
此前,2024年第四季度及2025年第一季度,访问控制失效居主导地位,超过了大部分漏洞型攻击。然而,本季度DeFi领域访问控制漏洞导致的损失降至1400万美元,创2024年第二季度以来新低,但智能合约漏洞导致的损失却大幅上升。
Cetus攻击事件利用了流动性计算中的溢出检查漏洞。攻击者通过闪电贷开启小额仓位,并横扫264个资金池。Hacken指出,若实施实时总锁仓额(TVL)监控与自动暂停机制,最多可挽回90%的被盗资金。
人工智能正对加密安全构成日益严重威胁
人工智能与LLM(大型语言模型)已深度融入Web2和Web3生态。这一融合虽然推动了创新,但也扩大了攻击面,带来了新型且不断演化的安全威胁。
与2023年相比,涉及人工智能的攻击事件激增1025%,其中98.9%与不安全的API有关。此外,五项主要的AI相关CVE(常见漏洞与暴露)被新增到名单中,目前34%的Web3项目在生产环境中部署AI Agent(人工智能代理),使其成为攻击者的重点目标。
传统网络安全框架——如ISO/IEC 27001和NIST网络安全框架——尚未能够应对人工智能独有的风险,例如模型幻觉、提示注入和对抗性数据投毒。“Hacken”指出,这些标准必须进行升级,以反映Web3当前面临的AI专属威胁。