2025年上半年加密货币行业因黑客攻击损失已超31亿美元,这一数字已超过2024年全年总和。
区块链安全公司哈肯发布的报告显示,该数据反映出去中心化和中心化金融平台持续存在的系统性漏洞,主要源于过时代码库、权限控制缺陷以及人工智能集成带来的日益复杂性。
权限控制漏洞仍是造成财务损失的主因,约占总损失的59%,而智能合约漏洞导致的损失约为2.73亿美元。
尽管2月发生的Bybit交易所15亿美元盗币事件尤为突出,但这并不能掩盖行业仍面临广泛安全缺陷的事实。
哈肯取证团队发现2025年呈现一个反复出现的主题:相比密码学弱点,人为和流程错误正成为更频繁的攻击突破口。
遗留系统与运营漏洞
哈肯取证主管Yehor Rudytsia指出,老旧代码库仍是攻击者的主要目标,其中GMX v1平台就是典型案例。
该协议的过时架构在2025年第三季度开始遭到利用。"项目方必须关注那些仍在运行的遗留代码",Rudytsia强调放任老旧协议运行的风险。
运营漏洞同样造成重大影响,在DeFi和CeFi领域共导致约18.3亿美元损失。最典型案例是第二季度DeFi平台Cetus遭受的2.23亿美元攻击,调查发现其流动性计算存在溢出检查漏洞。
攻击者通过闪电贷在264个资金池建立了数百个小仓位。哈肯分析师认为,配备自动暂停机制的实时TVL监控系统本可阻止90%的资金流失。
AI与不安全API加剧Web3安全复杂性
人工智能工具在Web3项目中的应用为安全环境增添了新的复杂性。哈肯报告显示,相较2023年,AI相关攻击激增1025%。
其中近99%的事件涉及不安全的API接口,使其成为当前最常被利用的攻击面之一。截至2025年年中,34%的Web3项目在生产环境使用AI代理,增加了模型幻觉、提示注入和数据投毒等风险。
哈肯同时指出,ISO/IEC 27001和NIST网络安全框架等现有安全标准尚不足以应对这些AI特有的威胁。报告呼吁建立更新的治理和风险模型,以更好应对智能系统中的动态漏洞。
随着更复杂的威胁载体出现,以及攻击者日益依赖自动化和社会工程学,加密行业对主动式自适应安全机制的需求显著增长。
题图由DALL-E生成,图表来自TradingView