2025年4月成為加密貨幣安全的重要分水嶺,根據區塊鏈安全公司CertiK,因為駭客、詐騙和漏洞利用,總損失金額飆升至3.64億美元。
這代表相較於3月的2,900萬美元,激增了1,163%。主要原因是一宗針對美國人士的大型網釣事件,一次竊走3,520顆比特幣,價值達3.307億美元。
這宗於4月30日發生的巨大劫案,已成為歷史上第五大加密貨幣竊盜案,僅次於如Poly Network駭客事件(2021年,6.1億美元)和Coincheck安全漏洞(2018年,5.3億美元)等惡名昭彰的案子。此次攻擊凸顯了越來越精密且有效的社交工程手法,正被用來針對高價值的加密貨幣持有者。
CertiK調查確認,受害者是一位年長者,其私有錢包的安全性因高度進階的網釣技術被破壞,這些技術利用了人性的弱點,而非技術漏洞。
2025年4月加密安全災難剖析
即使不計3.307億美元的網釣損失,4月其它損失仍達3,400萬美元——較3月增長了21%,令人憂慮。根據Immunefi的分析,2025年至今,加密生態總損失已達17.4億美元,這數字是2024年同期4.2億的四倍,並已超越2024年全年總損失14.9億美元。
攻擊途徑與漏洞型態
雖然大型網釣攻擊主導了4月損失數據,其它數個攻擊途徑也導致安全防線失守:
社交工程攻擊:這些心理操控手法已成為愈來愈流行的攻擊方式,攻擊者創造假的情節,利用緊急性、恐懼、信任與好奇心。受害者通常在尚未評估情況或警覺到警訊前,被迫快速行動。
權限控制漏洞:權限管理機制的弱點,已成為加密安全領域的主流攻擊向量。2024年,權限漏洞佔所有加密駭客案的75%,此趨勢預期2025年也會持續。
價格操縱漏洞:多個DeFi協議遭遇複雜的預言機價格操縱,攻擊者通過人為改變特定資產價格,抽取價值。
DeFi 脆弱性集中:4月安全事件高度集中於DeFi領域,15宗事故累計100%的損失,中心化金融(CeFi)則完全無錄案例。
各區塊鏈攻擊選擇偏好
對不同區塊鏈生態的攻擊分布,反映駭客的明顯鎖定偏好:
2025年4月,以Ethereum及BNB Chain受攻擊最頻繁,合計佔損失總額的六成。以太坊發生攻擊數量最多,佔所有事件的33.3%,而BNB Chain則發生4次,即26.7%。
其它受影響公鏈包括Base、Arbitrum、Solana、Sonic和ZKsync,均有至少一起安全事件。
重大事件與資產追回行動
儘管損失數字驚人,加密安全社群展現了韌性,多起案件成功追回失竊資產。
超過1,800萬美元被找回,得益於白帽駭客的積極作為,以及部分合作的漏洞利用者。
KiloEx交易所追回經過
去中心化交易所KiloEx在4月初遭到750萬美元漏洞攻擊後,暫時停止營運。平台積極與攻擊者協商,於4月15日僅四天內成功完全追回該筆資金。
這宗成功展現了交易所積極回應、迅速交涉與設賞金制度,有效減少損失的發展趨勢。
ZKsync協會空投合約修復
ZKsync協會成功追回一度因空投分發合約漏洞而被盜的500萬美元資產。
此案突顯與代幣分發相關的風險,這類機制常涉及複雜智能合約互動,容易有被忽略的漏洞。
Loopscale部分資金追回
DeFi 協議 Loopscale 在4月26日遭價格操縱漏洞攻擊,被偷走570萬美元;經協商後,平台成功爭取返回50%。攻擊者利用RateX PT代幣價格機制,盗提USDC和Solana(SOL)。
此案例展現協議方與攻擊者後續複雜談判進程,有時能縮減損失。
UPCX平台重大漏洞
開源平台UPCX本月發生最大協議層級漏洞案,損失7,000萬美元。
該案與KiloEx事件合計,占4月非網釣相關損失大宗,突顯少數高影響事件可大幅拉高月度安全統計。
2025年加密安全威脅新發展
4月暴增的損失格外鮮明,與2024年底持續下滑的加密盜竊情況形成強烈對比。
2024年12月被竊僅錄2,860萬美元,11月為6,380萬,10月1.158億,曾呈現下降趨勢,如今完全逆轉。
重大加密劫案的歷史背景
最新3.307億美元網釣攻擊,已進入重大加密貨幣竊案不光彩榜單:
-
Mt. Gox(2014年):曾控全球七成比特幣交易,日本交易所共失85萬枚BTC(當時值4.5億美元),導致倒閉,引發早期社群震盪。
-
Poly Network(2021年):此跨鏈DeFi平台被駭6.1億美元,引起全球關注後,所謂「道德駭客」歸還大部分資金。
-
Coincheck(2018年):日本加密交易所因安全疏忽,損失價值5.3億美元的NEM代幣,多數資金未追回。
-
2024年2月Bybit事件:2025年迄今單月損失最高紀錄出現在2月,總損失高達15.3億美元,主因1.4億Bybit遭北韓Lazarus集團攻擊,寫下歷來最大加密駭客紀錄。
2025年4月的安全事件指出幾項重要的加密威脅變動:
從技術漏洞到社交工程演化
儘管智能合約及協議的技術漏洞仍為重要威脅,大型網釣攻擊已明顯展現駭客轉向社交工程,因為針對人性心理往往比技術攻擊更容易奏效。此演變和傳統資安領域的趨勢一致,網釣一直都是最有效的攻擊手法之一。
加密詐騙中的社交工程,利用人類心理弱點,創造假情節使受害者信任詐騙者,或因恐懼趕快行動。這類騙局的共通點,是製造急迫感,讓受害者尚未細究情勢即匆忙操作。
私有錢包的脆弱性
此次4月網釣案,無論規模與手法都顯示,即便是私人、自主管控錢包也不再絕對安全,動搖了長久以來「自主管理比中心化更安全」的觀念。
攻擊者針對個人戶持有人的手法日趨成熟,未來私有錢包能否安全,愈加倚賴使用者的資安意識與措施。
高齡及非技術用戶的風險提升
大規模網釣案的受害者為年長者,特別突顯出加密資產雖多,但缺乏技術背景或警覺詐騙手法的用戶,是新興高風險族群。
隨著加密貨幣普及到更多非科技早期使用者,駭客也將目標轉向這些較易受騙的人群。
安全建議
4月驚人的損失數據,展現對加密生態強化安全措施的迫切需求:
給個別持有者的建議
-
開啟多重身份驗證:除密碼外,建議所有加密相關帳戶加上硬體安全金鑰或身分驗證應用程式。
-
大量持倉須冷錢包儲存:主要加密資產應放在離線冷錢包,僅將熱錢包用於日常交易或即時需求。 needs.
-
驗證所有通訊:對於所有未經請求的通訊,尤其是那些營造急迫感的,必須極度保持懷疑態度。始終透過仔細檢查網址來驗證網站的真實性,並建議對重要的加密貨幣服務使用書籤,而非直接點擊連結。
-
定期安全稽核:定期檢視錢包連線、已授權的應用程式,以及交易簽署權限,以識別並撤銷任何不必要的存取權限。
For Projects and Protocols
-
定期獨立安全稽核:在推出新功能或合約前,強制進行第三方安全稽核,並建立長期合作的審核關係,而非僅僅一次性的審查。
-
漏洞懸賞計畫:提供豐厚的漏洞懸賞,鼓勵白帽駭客在漏洞被利用前主動發現並回報安全弱點。
-
緊急斷路機制與交易限額:實施自動斷路機制,在檢測到異常交易模式時可暫時中止運作,並為超過特定門檻的資金移動設立需額外驗證的交易限額。
-
用戶教育倡議:制定完善的教育資源,協助用戶識別與避免常見詐騙及安全陷阱。
2025年4月加密貨幣損失激增,特別是創下新高的網路釣魚攻擊,象徵著數位資產安全的重要分水嶺。隨著加密貨幣生態系持續吸引更廣泛採用,安全挑戰也已從以往以技術漏洞為主,演變為更為複雜且針對人性弱點的社交工程攻擊。
產業對這種威脅轉變的因應措施,將對加密貨幣是否能達成主流金融系統的潛力起決定性作用。加強安全措施、提升用戶教育,以及更完善的資產回復機制,將對建立更具韌性的生態體系發揮關鍵作用。