你以为躲过了土狗归零，躲过了交易所插针，你的资产就安全了吗？答案可能比你想象的要残酷得多。

站在 2025 年的岁末回望，如果只看 K 线图，今年的故事似乎依旧是熟悉的牛熊轮转、起伏不定。但在价格曲线的背面，还有另一条更为惊心动魄的轨迹。这一年，黑客们的猎杀变得更加精准且致命。根据慢雾区块链被黑档案库及其他网络来源的不完全统计，截至 12 月 15 日，全年链上及加密相关安全事件达 189 起，累计损失高达约 26.89 亿美元。

数据全景

时间上，今年致命的「重磅炸弹」大多在第一季度被引爆，而后三个季度，行业则更多面临着中小型安全事故的持续骚扰。

Q1 共发生 68 起事件，披露损失约 16.58 亿美元，是全年数量和金额都最高的季度，其中包括 Bybit 在内的十亿美元级事件，使这一时期的记录远高于其他季度。

Q2 记录 52 起事件，损失约 4.65 亿美元；Q3 为 38 起事件，损失约 3.28 亿美元；Q4 截至 12 月 15 日时录得 31 起事件，损失约 2.38 亿美元。

金额上，在所有披露损失的 127 起事件中，约一半（62 起） 的案值不足 100 万美元。这些占据了半壁江山的「小案子」，合计损失约 1,437 万美元，在年度总损失中的占比微乎其微（0.53%）。真正的危机，被高度压缩在金字塔的顶端。

包括 Bybit 在内的 3 起亿级大案，虽然数量占比不足 3%，合计案值却高达约 18.11 亿美元，占全年的 67.35%。尤其是 Bybit 这一起孤例，单案损失高达 14.6 亿美元，一家就占年度损失的一半以上（54.29%）。对于黑客而言，攻击 100 个中小项目，远不如完成一次对顶级目标的「单点爆破」来得暴利。

其余损失位于 100 万至 1000 万美元区间的事件有 42 起，占 33.07%，累计损失约 1.92 亿美元，占 7.15%。在 1000 万至 5000 万美元区间共有 15 起事件，占 11.81%，损失约 3.37 亿美元，占 12.54%。5000 万至 1 亿美元的事件有 5 起，占 3.94 %，累计损失约 3.34 亿美元，占 12.42%。

2025 年度十大安全事件

笔者按披露损失金额，筛选出了全年最为惨烈的十大核心案件。这十起事故虽然只占案发总数的极小比例，却合计贡献了全年绝大多数的被盗金额。

1. Bybit 供应链攻击：14.6 亿美元的幽灵签名

这是 Web3 历史上规模最大的单次黑客攻击，根据链上侦探 ZachXBT 及官方取证报告，本次攻击并非直接破解了 Bybit 的私钥，而是疑似臭名昭著的朝鲜黑客组织 Lazarus Group 实施的一次供应链投毒。攻击者通过社会工程学手段入侵了多签服务商 Safe Wallet 开发人员的电脑，植入了恶意代码。

当 Bybit 团队执行常规的冷热钱包归集操作时，被篡改的前端 UI 实施了视觉欺骗：屏幕上显示的是正常的转账地址，然而底层的智能合约逻辑已被悄悄替换为恶意后门。 这导致 Bybit 在毫不知情的情况下，亲手签署了将 49.9 万枚 ETH 转移给黑客的交易。

但事件发生后，Bybit 迅速公开直播并发布说明，为阻断攻击扩散，Bybit 第一时间暂停受影响钱包交互，同时保持平台提现与存款功能正常运行，避免因恐慌造成挤兑，只部分提现因流量激增可能延迟。同时其确认此次仅涉及其中一个 ETH 冷钱包，其余资产保持安全，并强调平台储备充足，将全额承担用户损失，确保用户资金 1:1 安全。

2. Cetus 合约漏洞：2.6 亿美元的 DeFi 数学陷阱

Cetus 是 SUI 公链生态中的重要流动性提供协议。事后分析发现，Cetus 的智能合约在处理特定参数时存在数学库精度问题（overflow check 缺陷）。

黑客利用该逻辑缺陷，通过压低池内价格，在高价区建仓，随后利用溢出漏洞，仅以极小的代币成本就向池内注入了虚高的流动性，最终像变魔术一样掏空了价值 2.6 亿美元的资产。但这起事件的高潮不仅攻击本身，还涉及后续的救援行动。在黑客得手并将部分资金跨链转移后，Sui 验证节点迅速识别并锁定了攻击者留在链上的约 1.62 亿美元 资产。

为了夺回这笔巨款，Sui 社区通过了一项极具争议的升级提案：Sui 官方支持通过硬编码的方式，在协议升级中加入两笔特殊交易，直接将黑客地址中的资产强行划转至由 Cetus、Sui 基金会和安全公司共同管理的多签钱包。提案获得通过，1.62 亿美元被成功「没收」并用于赔付用户，配合基金会的贷款，Cetus 最终实现了对受损用户的全额赔付。虽然是保护受害者的正义之举，但也打破了「不可篡改」的区块链金身。

3. Balancer 逻辑漏洞：1.28 亿美元的取整谬误

作为老牌 DeFi 协议, Balancer 在 V2 上依然因为逻辑漏洞遭遇重创。据分析，漏洞源于极其隐蔽的四舍五入方向错误，当处理包含非整数缩放因子的 EXACT_OUT 兑换时，协议错误地执行了向下取整。

攻击者敏锐地捕捉到了这一毫厘之差，结合批量兑换功能反复套利，最终将以太坊、Arbitrum、Avalanche 等多条链上的资金池洗劫一空，损失总额高达 1.28 亿美元。此次攻击迅速引发了「多米诺骨牌效应」：为防止漏洞波及自身的 BEX，Berachain 不惜通过紧急硬分叉的方式暂停网络运行；StakeWise、Beets 等依赖 Balancer 流动性的协议蒙受重创。

4. Nobitex 遭国家级打击：9000 万美元的数字地缘冲突

Nobitex 事件在官方披露时, 仅给出资金损失与业务影响的粗略说明。事件发生在伊朗与以色列爆发 12 天军事冲突的敏感时期。攻击者 Predatory Sparrow 并没有试图掩盖踪迹或清洗资金，而是将这些钱转移到了通过暴力破解生成的羞辱性地址中（地址后缀包含反伊朗革命卫队 IRGC 的口号）。

这种做法直接导致这些资金既无法被使用，也无法被追回，相当于在链上制造了一片「数字焦土」。其目的非常明确：不是为了钱，而是为了瘫痪伊朗的金融生命线，羞辱对手。此次攻击还导致了 Nobitex 源代码的泄露，揭开了伊朗加密经济的「双面性」：代码显示，Nobitex 内置了供执法部门使用的「后门」，允许在无搜查令的情况下监控普通用户；同时，它又为 VIP（通常是受制裁的高官或实体）设计了专门的隐私保护逻辑，帮助其规避国际制裁和反洗钱审查。

5. UPCX 权限失窃：7000 万美元的流动性死局

这是一场看似惊天动地、实则进退两难的黑客行动。4 月 1 日，Cyvers 监测到支付公链 UPCX 的管理账户出现异常。

攻击者疑似获取了管理员权限，通过升级 ProxyAdmin 合约并调用 withdrawByAdmin 函数，从三个管理账户中一口气提走了 1840 万枚 UPC，账面价值高达 7000 万美元。但根据 CoinGecko 数据，UPCX 当时的市场流通量仅为约 400 万枚。这意味着，黑客手中掌握的代币数量是全市场流通总量的 4.6 倍。

6. Phemex 热钱包失守：7000 万美元的多链扫荡

1 月 23 日，新加坡交易所 Phemex 遭遇大规模网络攻击，损失高达 7000 万美元。据安全机构分析，幕后黑手极有可能是朝鲜相关黑客组织 TraderTraitor。攻击者展现了极高的专业度与执行力：不仅同时在 ETH、Solana、Polkadot 等多条公链上通过至少 8 个地址转移资产，更在操作上极具针对性。

攻击者优先将 USDC、USDT 等可冻结资产兑换为 ETH，随后连价值仅几百美元的小币种也一并打包带走。事后，Phemex 依托其约 18 亿美元的储备金启动赔付并恢复服务，暂时稳住了平台运营。

7. BtcTurk 热钱包失守：5400 万美元的二度折戟

对于土耳其最大的加密交易所 BtcTurk 来说，此次事件是一场似曾相识的噩梦。事件发生 14 个月前，该交易所曾因热钱包被盗 5500 万美元而导致管理层大换血。然而悲剧却再次重演，其热钱包再次被攻破，黑客轻松获取了获取 7 条区块链的私钥权限，卷走约 5400 万美元。

这起案件最令人唏嘘的不是金额，而是重蹈覆辙。连续两次被盗均源于热钱包私钥管理不善，对于用户而言这是最坏的消息，因为你永远不知道平台是否真的吸取了教训，还是仅仅在等待下一次被盗。

8. Infini 权限失窃：5000 万美元的赌徒施盗

起初，团队试图通过链上喊话并提供 20% 赏金来招安黑客，但随着调查深入，一个令人震惊的真相浮出水面：这并非外部入侵，而是核心工程师的「监守自盗」。

根据网络流传的法院披露文件，第一被告 Chen Shanxuan（Infini 核心合约工程师）利用职务之便，在部署合约时保留了 Super Admin 最高权限，却对团队谎称已移交至多签。被告因长期沉迷高倍数合约交易和网络赌博，背负了巨额债务。在案发前，他曾多次向同事借钱，甚至接触地下钱庄。

在债务压力的逼迫下，他动用了权限，将金库中的 5000 万美元洗劫一空。他将 USDC 换成 DAI 再换成 ETH，试图通过混币洗白。这种基于信任的「草台班子」管理，再次印证了加密价值观之一：Don『t Trust, Verify！

9. CoinDCX 管理漏洞：接私活接出的 4420 万美元大锅

印度头部交易所 CoinDCX 遭遇了一场荒诞的「内鬼」危机。黑客在凌晨先进行了一笔 1 USDT 的微小测试，随即如决堤般卷走了价值 4420 万美元 的资产。警方调查迅速锁定了公司员工 Rahul Agarwal 并将其逮捕。

调查显示，Agarwal 长期违规使用公司配发的笔记本电脑「接私活」，在过去一年里赚取了约 1.8 万美元的外快。但这台公物私用的电脑最终成为了外部黑客渗透内网的特洛伊木马。员工终端安全（Endpoint Security）与行为规范，是交易所绝对不能忽视的隐形防线。

10. GMX 管理漏洞：4200 万美元越修越漏的回旋镖

去中心化衍生品交易协议 GMX V1 遭遇了智能合约攻击中古老且经典的「重入攻击」漏洞，重入攻击即利用合约逻辑的时间差，在系统完成最终记账之前，强行「插队」再次发起调用，如本案中黑客卡在系统更新持仓数量和平均价格之间的间隙发起攻击，迫使系统错误使用旧价格计算资产价值。

然而讽刺的是，这个致命漏洞，是 GMX 团队在 2022 年紧急修复某个 Bug 时候自己引入的。在未经充分审计的情况下，这颗埋了三年的雷终于被引爆。幸运的是，最终黑客同意白帽协议谈判，归还了大部分资金。

攻击手段

若按攻击手段拆解，我们会发现黑客对 Web3 的入侵就像一场分层级的「立体战争」。不同的攻击手法，折射出完全不同的技术深度与破坏边界。

供应链攻击展示了极为可怕的破坏力上限。尽管该类别全年仅记录 4 起，且其中 3 起的损失规模并不突出，但 Bybit 一案（14.6 亿美元） 的存在，揭示了这种攻击手法的恐怖之处：它绕过了链上的智能合约防御，直接从基础设施或代码源头进行投毒。这种攻击往往极难得手，可一旦成功渗透进中心化巨头的供应链，其造成的后果就是毁灭性的「降维打击」。 它不是最高频的威胁，却是悬在行业头顶的达摩克利斯之剑。

合约与协议漏洞则是黑客与项目方进行正面对抗的主战场。这是最常见的安全事件原因，63 起事件造成约 6.75 亿美元损失。这是典型的「技术博弈」：黑客需要精通代码逻辑，寻找数学或逻辑上的破绽。虽然单案破坏力不如 Bybit 那般惊世骇俗，但由于 DeFi 协议中沉淀了大量资金，只要攻破一点，往往就能获得数百万至数千万美元的不当得利。

相比之下，账号 / 前端攻击更像是一种低成本的外围骚扰。这一类别虽有多达 57 起 的记录（包括推特被黑、前端注入等），但记录损失仅 1774 万美元。这类攻击通常利用流量劫持、钓鱼链接等手段，技术门槛相对较低。虽然它们在社交媒体上制造了最大的恐慌噪音，但由于无法直接触动链上金库，其造成的实际损失往往止步于「皮外伤」。

此外，不可忽视的还有人的因素。跑路、内鬼作恶以及私钥泄露等同样造成了不小的损失。管理永远应该被重视，系统再完美，握着钥匙的人，总是那个填不上的漏洞。

币圈人士保命清单

别做帮黑客完成 KPI 的人，下文是让你在 Web3 活得更久的保命清单。

1. 默认官方也会骗人

看到「官方空投」、「紧急赔付」的链接，先别点！推特会被盗，Discord 会被黑，连总统都会发假币。

去官网、去社群交叉验证。多花 1 分钟确认，好过花 10 年回本。

2. 陌生项目，只用小号冲

不认识的土狗、没听过的 DApp，别用存大钱的主钱包去连！准备一个只放几百 U 的钱包去试水。

养成隔离习惯，炸也就炸个小号，大本营毫发无伤。

3. 尽量避免无限授权，定期解除授权

没有哪个协议值得你把身家性命交给它。授权额度用多少填多少，别为了省 Gas 填无限。

定期用 Revoke.cash 查一次，把那些很久不用的，看着眼生的授权全取消。

4. 慢签名，多确定

面对小狐狸弹出的签名框，别只会点确认。三问：这笔交易到底在干嘛？合约地址对不对？万一被盗，这笔损失我扛得住吗？

有一个答不上来，就拒绝签名。

5. 资金要分家，交易的归交易，存钱的归存钱

交易所放一点，链上钱包放一点，不同链再分散一点。交易账户 = 灵活取用的钱（放交易所 / 热钱包），存钱账户 = 几乎不动的钱（放冷钱包 / 多签）。

存钱账户永远不要去乱点链接、乱授权。分散不是为了赚更多，是为了哪怕一个地方雷了，你还能有筹码翻身。

记住，Web3 不缺机会，但缺永远在桌上的人。