2025年4月成為加密貨幣安全領域的關鍵轉折點,區塊鏈保安公司CertiK指出,當月因黑客攻擊、詐騙及漏洞利用而導致的總損失高達3.64億美元。
這數據比3月份的2,900萬美元損失增長高達1,163%。這次爆升主要來自一宗災難性釣魚詐騙案,針對一位美國人士,劫去3,520枚比特幣,價值3.307億美元。
這宗嚴重劫案於4月30日發生,現時已是歷來第五大加密貨幣盜竊案,僅次於Poly Network(2021年,6.1億美元)及Coincheck(2018年,5.3億美元)等知名事件。這次攻擊突顯針對高資產持有者的社交工程手法及其愈趨高明。
CertiK調查證實,受害人是一位年長者,因進階釣魚技術令其私人錢包失守,利用的是人性弱點而非技術缺陷。
四月加密安全危機結構分析
即使不計這宗3.307億美元釣魚案,四月其餘損失仍達3,400萬美元,較三月增幅亦有21%。按照Immunefi的分析,2025年迄今加密生態已損失17.4億美元,較2024年同期的4.2億美元翻了四倍,超出2024全年損失(14.9億美元)。
攻擊途徑及漏洞模式
雖然釣魚案佔大多數,其他攻擊途徑同樣推高當月損失數字:
社交工程攻擊:這些心理操控手段日益猖獗,攻擊者強調緊急、恐嚇、信任或好奇心,迫使受害人未能分辨警號便倉促行動。
訪問控制漏洞:權限系統弱點大行其道,2024年佔75%加密貨幣盜竊,趨勢於2025年持續。
價格操縱攻擊:多個DeFi協議被價格預言機操縱,導致攻擊者可利用人為價格變化套現。
DeFi主導漏洞:2025年4月的安全事件全部發生於DeFi領域,合共15宗,佔當月所有損失;集中式金融(CeFi)則零紀錄。
針對不同區塊鏈的攻擊分佈
攻擊於各大區塊鏈生態間顯現黑客明顯傾向:
以太坊及BNB鏈於2025年4月最常被鎖定,合計損失佔60%。以太坊受攻擊宗數最多,佔總案33.3%;BNB鏈則有四宗,佔26.7%。
其他受影響的區塊鏈包括Base,Arbitrum,Solana,Sonic與ZKsync,各有至少一宗安全事故。
重大事件及資金追回行動
雖然數字驚人,但加密保安社群積極回收失款:
白帽行動與部分黑客合作,共成功追回1,800萬美元資產。
KiloEx交易所資金追回
去中心化交易所KiloEx於4月初遭7,500萬美元漏洞,隨後迅速暫停運作,並與攻擊者談判,於4月15日全數追回。
這反映交易所現時往往能即時損傷控制,甚至通過懸賞誘使黑客歸還資金。
ZKsync Association空投合約補救
ZKsync Association成功追回曾因空投發行合約漏洞而失去的500萬美元資產。
事件顯現複雜智能合約中的發幣分發機制,常被忽略的安全風險。
Loopscale 部分資金挽回
DeFi協議Loopscale透過協商,成功要回4月26日遭操控匯率PT代幣漏洞劫去的570萬美元中一半。攻擊者當時以USDC及Solana(SOL)套現。
事件證明協議與黑客之間有時需艱難談判,方能追回失款。
UPCX平台漏洞
開源平台UPCX於本月遭受最大型協議級攻擊,損失7,000萬美元。
此事件聯同KiloEx案,佔四月非釣魚損失大部份,突顯單一大型侵害事件對每月數據影響巨大。
2025年加密安全威脅演變
2025年4月損失飆升,與2024年底的盜竊下滑形成鮮明對比。
2024年12月錄得失竊僅2,860萬美元,11月及10月分別為6,380萬及1.158億美元,原本下行趨勢現已急轉直上。
重大加密劫案歷史背景
最近的3.307億美元釣魚案,列入加密歷史著名劫案黑名單:
-
Mt. Gox(2014):日本交易所,曾佔全球七成比特幣交易,損失85萬BTC(按當時市值約4.5億美元),導致交易所倒閉,震撼早期加密圈。
-
Poly Network(2021):此跨鏈DeFi平台被黑過6.1億美元,加害者自稱「道德黑客」,事件轟動後選擇歸還資金。
-
Coincheck(2018):日本交易所因保安薄弱而損失5.3億美元NEM代幣,絕大多數資金未曾追回。
-
2024年2月Bybit入侵:仍是2025年單月最嚴重的加密安全事件,總損失達15.3億美元,主因是由北韓Lazarus集團策動的14億美元Bybit盜竊案,現為史上最大加密劫案紀錄。
2025年4月的安全事故,揭示加密威脅格局正快速轉變:
由技術漏洞轉向社交工程
智能合約和協議的技術性漏洞雖仍關注,惟本次大規模釣魚攻擊反映,攻擊者日益偏重社交工程,因人性弱點更易突破。這正符合傳統網絡安全多年來發現的趨勢——釣魚手法一向最具威力。
加密詐騙中的社交工程,善用人之本性,如創造虛假資訊讓受害人信任騙徒或因恐懼而加快決定。此類伎倆通常營造緊急感,令受害人未及思考便動作。
私人錢包的脆弱性增加
釣魚案規模及手法證明,連非託管、個人私有錢包亦難避精密詐騙,顛覆了以往自管錢包更安全的觀念。
黑客直指個人持幣者,錢包安全日漸取決於擁有人自身的保安意識和操作慣例。
長者和非技術用戶風險攀升
被害人為年長者,反映持大量加密資產但缺乏技術和防騙知識的群組特別脆弱。
隨加密應用擴展至更多非資深及非技術用戶,這些較弱勢群體將成新目標。
安全建議
2025年4月驚人的損失,警示加密生態必須全面提升安全意識和措施:
對個人持有者
-
實行多重身份認證:除密碼外,建議配合硬件安全密碼器或驗證器App,保護所有加密貨幣帳號。
-
大額資產冷存:將主要資金存放於離線冷錢包,熱錢包只用於即時操作和交易。 needs.
-
驗證所有通訊:對所有主動聯絡、尤其是製造緊急感覺的通訊,都要保持高度懷疑。確認網站真偽時,請小心檢查網址,並為重要的加密貨幣服務使用書籤,而不是直接點擊連結。
-
定期安全審查:定期檢查錢包連接、已授權的應用程式及交易簽名權限,識別並撤銷任何不必要的訪問權限。
For Projects and Protocols
-
定期獨立安全審計:在推出新功能或合約前,強制進行第三方安全審計,並建立持續的審計合作關係,而非一次性評審。
-
漏洞懸賞計劃:維持具吸引力的漏洞懸賞計劃,鼓勵白帽駭客在漏洞被利用前,主動發現並回報安全風險。
-
自動熔斷及交易上限:設置自動熔斷機制,於偵測到異常交易行為時,能暫時中止操作;同時建立交易上限,對高於特定金額的交易要求額外驗證。
-
用戶教育計劃:制定完善的教育資源,協助用戶識別及避免常見騙局和安全風險。
2025年4月加密貨幣損失激增,尤其是創下紀錄的釣魚攻擊,標誌著數碼資產安全的一個分水嶺。隨著加密貨幣生態系統不斷擴大採納範圍,安全挑戰亦由單純的技術漏洞,逐漸演變成針對人性弱點的複雜社交工程攻擊。
業界對這種新威脅局面的應對方式,將左右加密貨幣能否成為主流金融系統的潛力。加強安全措施、提升用戶教育,以及更健全的追討機制,將在建設一個更有韌力的生態系統中,發揮關鍵作用。