2025年第三季度,加密行业遭受的被盗资金出现明显下降,据区块链安全公司CertiK统计,季度总损失从第二季度的8.03亿美元减少到5.09亿美元,降幅约37%。这一变化背后并非安全风险的彻底消失,而是攻击者战术与目标的显著调整,从以往对智能合约代码漏洞的集中利用,逐步转向对钱包、运营流程和社交工程的攻击。理解这一转变的原因、识别新兴威胁并采取针对性防护,对于中央化交易所、去中心化金融项目和个人用户都至关重要。以下对数据、典型案例、攻击手段演进和可行的防护策略进行较为详尽的分析与解读。 总体数据与结构性变化概览 2025年Q3总损失降至5.09亿美元,相比Q1近17亿美元的高峰下降超过70%。在细分项上,因代码漏洞导致的损失出现大幅收窄,从Q2的2.72亿美元降至Q3的7800万美元,表明智能合约审计、形式化验证、保守的上线流程在一定程度上抑制了大规模合约被攻破的风险。
但同时,九月成为异常活跃的月份,单月发生了16起超过一百万美元的事件,创下有记录以来的最高单月百万美元级案件数,显示攻击者在规模与频率方面进行调整,更偏好中等规模但高频率的目标。 目标态势:交易所与DeFi仍为高价值目标 按项目类型统计,中央化交易所(CEX)在Q3遭受的资金损失最多,达到1.82亿美元。交易所作为资金集中与流动高度集中的节点,长期以来就是高价值目标。攻击手段则从纯技术性漏洞向更依赖运营失误与社工的方向扩展,例如通过钓鱼、社会工程获取多签控制权或入侵热钱包。DeFi项目依然是第二大受害者,Q3损失约8600万美元,其中包括对新版本或新生态的攻击。值得注意的是,新兴链与生态系统因缺乏成熟的安全实践,更容易成为攻击者测试新战术与竖立"快速换钱"通道的地点。
攻击群体与动机:国家级组织与利益驱动并存 安全公司Hacken指出,国家支持的黑客组织仍对生态构成重大威胁,约一半的被盗资金可能与朝鲜等国的网络部门有关。此类组织在资源、持久性和现金化渠道上具有显著优势,倾向于通过多阶段行动获取大额资金。同时,经济动机驱动的黑客团伙则更喜欢短平快、低风险的中等规模攻破,以降低被追踪和被制裁的概率。对攻防双方而言,攻击源的多元化意味着防护不能仅依赖对代码漏洞的修补,也必须提升运营安全、情报与链上监控能力。 典型案例解析与经验教训 GMX v1 DEX事件是Q3较为突出的案例之一,攻击者取得了约4000万美元资产,但在事后通过白帽或谈判机制归还了大部分资金,最终黑客获取约500万美元的"赏金"。该案例说明两点:一是即便发生大规模资金外流,成熟的治理与赏金机制仍可在一定程度上减少损失;二是攻击者在评估成本与风险后,可能倾向于通过协商回收部分资金,反映了加密领域独有的事后缓解路径。
另一端,Hyperliquid新链在季度末暴露出HyperVault漏洞和HyperDrive疑似跑路案件,凸显新链与快速搭建的生态更易成为"试验场",用户在接入新生态时需格外谨慎。 为何攻击重心向钱包与运营侧迁移 智能合约漏洞被广泛认识并逐步减少后,攻击者将目光转向更"容易得手"的环节。钱包与运营系统往往涉及多个人员、密钥管理、第三方服务和便利与安全之间的权衡,因而更容易在流程或人为环节出现薄弱点。多重签名钱包如果签名者被钓鱼或社工攻击,其保护作用会大打折扣;热钱包对便捷性的追求让其在网络暴露面上远大于冷钱包。运营安全包含密钥分发、备份策略、员工权限管理和供应链安全,任何环节存在漏洞都可能被攻击者通过长期渗透与横向移动加以利用。与此同时,攻击者在链上混币、穿桥和利用新兴链的匿名化工具变现能力也在增强,使得中小规模的窃取事件变得更具吸引力。
对交易所与DeFi项目的防护要点 对于中央化交易所,核心在于强化多重签名与多方签名(MPC)体系的运营实践,不仅要有强健的技术实现,还要有严格的签名流程、签名者轮替与离线保护机制。应对热钱包的最佳策略是极致最小化持仓,尽量将长期持有与大额资金移至经过物理隔离的冷库。供应链安全不容忽视,第三方服务、云环境和外包团队均应纳入安全审计与访问控制范围,并实行强制最小权限原则。对DeFi项目而言,除了严谨的代码审计与多轮渗透测试外,应在上链前进行红队演练与资金上限控制,部署时引入多签时间锁与逐步启用机制以减少一次性巨大暴露。上线后应持续进行安全赏金计划与快速响应能力建设。 用户层面的自我防护建议 普通用户面对钱包攻击时应提升安全意识。
务必使用经验证的钱包与硬件钱包存放长期持有资产,启用多重签名或分散存储以降低单点失守风险。千万警惕钓鱼网站、假版本钱包与二维码诱导签名,任何异常的签名请求都应在离线环境中核验。参与新链或新项目时应先观察其审计报告、社区声誉与早期风险事件记录,避免将大量资金直接投入未经证实的合约或流动性池。保持对链上交易的监测,利用地址标签、交易预警工具和专业托管服务可以在异常活动初期触发警报并尝试限损。 技术与组织措施的补充方向 加强链上侦测与情报共享能够提高行业整体防御能力。交易所与安全公司应建立更紧密的情报通报机制,快速共享可疑地址、攻击模式与自动化追踪工具。
利用可验证的时间戳与链上分析工具对可疑资金流进行追踪有助于提高找回或冻结被盗资产的成功率。项目方应优先采用经过审计的MPC方案并将密钥管理与治理体系纳入审计范围。推动形式化验证与自动化安全检测集成到持续集成/持续部署流程(CI/CD),可以在代码层面尽早捕获潜在漏洞。 监管与保险的作用与限制 随着攻击重心的转移,监管机构对交易所的运营合规与安全监管可能加强,例如要求更严格的内部控制、定期审计与透明的风险披露。保险公司在加密风险承保方面角色日益重要,但保单通常对理赔条件有严格限定,且保费较高。市场需要在监管合规、保险产品创新与行业自律之间找到平衡,既不扼杀创新,也要为用户提供基本的资金安全保障。
对于跨链攻击与匿名化变现渠道,国际协作与执法追踪仍是关键补充手段。 展望未来:中期风险与长期改善路径 短期内,预计攻击者会继续利用运营漏洞与社会工程进行攻破,同时在新兴链和DeFi快速迭代的生态中寻找低阻力目标。长远看,行业对代码审计、开发者教育与工具链的投入将抑制对智能合约漏洞的依赖性,但钱包与运营安全的提升需要更多制度化与技术创新,如更成熟的MPC、多方托管与可审计的签名流程。社区治理、赏金机制与链上黑名单工具也将作为重要的行业自救手段。最有效的防御仍是多层次的,包括技术、组织、流程与法律协同发力。 结语:从降低损失到提升韧性 第三季度损失的下降给行业带来一定缓解,但不应成为放松警惕的理由。
攻击者的策略在演进,防御也必须同步升级。交易所与项目方须在技术防护与运营规范上双向发力,用户需要提升基础安全操作意识,监管与保险机构应提供更清晰的规则与风险分担机制。只有通过多方协作与持续投入,加密生态才能在面对不断变化的威胁时提高整体韧性,将单次事件造成的冲击降到最低,并推动行业走向更成熟与安全的未来。 。
