2025年加密货币黑客攻击猖獗：访问控制漏洞与AI威胁致损失超31亿美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

2025年加密货币黑客攻击猖獗：访问控制漏洞与AI威胁致损失超31亿美元

2025-07-24 21:00:59

加密货币行业面临空前安全危机

区块链安全公司Hacken最新报告显示，2025年上半年加密货币行业遭遇前所未有的安全漏洞浪潮，仅前六个月就有价值超31亿美元的加密资产被盗。这一主要由访问控制漏洞、过时代码库和AI驱动攻击造成的损失，已超过2024年全年28.5亿美元的总和，预示着随着Web3全球普及，安全问题正持续恶化。

DeFi与CeFi系统的结构性缺陷

Hacken研究发现，去中心化金融（DeFi）与中心化金融（CeFi）系统存在持续性结构弱点，尤其是人为和流程层面的安全问题已超越加密漏洞成为主要攻击载体。虽然像2月份Bybit交易所15亿美元被盗等重大事件可能属于统计异常值，但报告强调大多数损失源于可预防的漏洞，包括过时代码、权限配置错误或未受保护的API。

2025年约59%的被盗资金（约18.3亿美元）源于访问控制漏洞，即攻击者利用权限设置薄弱获取特权功能控制权。这一趋势延续了2024年的情况，但攻击规模和复杂程度显著提升，多起大规模入侵瞄准了遗留智能合约和去中心化协议中的陈旧管理逻辑。

"项目方必须重视那些仍在运行的遗留代码库，"Hacken取证与事件响应主管指出，"许多协议仍暴露着本应弃用版本的管理功能。"他举例GMX v1协议在2025年第三季度仍遭遇基于旧版合约架构的攻击，而该协议早已转向新版开发。

DeFi与CeFi平台持续失血

由于运营与安全缺陷，今年DeFi和CeFi平台合计损失超18.3亿美元。第二季度最严重事件是Cetus协议攻击，15分钟内损失2.23亿美元，成为自2023年初以来最严重的DeFi季度事件，也终结了连续五个季度黑客攻击金额下降的趋势。

分析显示，攻击者利用闪电贷漏洞，通过流动性池计算中的溢出检查缺陷，在264个资金池开设微型头寸压垮系统，未触发实时安全机制就抽走巨额流动性。"若Cetus部署带自动暂停阀的动态总锁仓价值监控系统，预计可挽回90%损失。"报告写道。

此事件改变了第二季度攻击类型分布：访问控制失效事件降至1400万美元（2024年第二季度以来最低），但智能合约漏洞激增，表明代码级风险依然严峻。

AI与大型语言模型催生新攻击向量

报告最令人担忧的发现是AI相关安全事件暴增1025%。多数攻击针对连接链上逻辑与链外智能系统的不安全API：

98.9%的AI相关漏洞涉及API暴露或配置错误
2025年新增5个大型语言模型相关通用漏洞披露
34%的Web3项目在生产环境部署AI代理，使其成为诱人目标

"传统安全框架已显滞后，"报告指出，现有标准尚未适配提示注入、模型幻觉和数据投毒等AI特有威胁。

跑路骗局持续肆虐

除技术漏洞外，社交工程攻击和跑路骗局（吸引投资后卷款消失）仍造成约7.5亿美元损失。今年最大跑路事件涉及BNB链上某DeFi收益聚合器，开发者通过操纵合约逻辑窃取6200万美元后彻底消失。

关键建议

报告提出系列风险管控建议：

遗留代码审计：检查并停用保留高权限的遗留智能合约
动态访问控制：用多签、时间锁和角色系统替代固定白名单
实时监控系统：部署链上遥测与TVL异动警报防范闪电贷攻击
AI风险控制：使用大型语言模型需建立输入净化、审计日志和敏感功能访问限制
用户教育：推广硬件钱包使用，禁用盲签名，实施交易模拟

安全已成生死线

随着加密货币进入主流金融体系，安全性已成为Web3长期存续的基础。面对从技术漏洞到流程操纵再到AI攻击的演变，建立前瞻性、适应性和全面性的安全标准刻不容缓。

"加密行业正进入新时代，人为错误、设计缺陷和AI利用比以往任何时候都重要，"专家总结道，"能在这个时代存活的项目，必将安全视作核心产品而非事后补丁。"

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文