2025 幣圈安全事件報告：損失 29 億美元，AI 深偽成駭客新武器

慢霧科技年度報告顯示，2025 年區塊鏈安全事件雖從 410 起降至 200 起，但總損失金額暴增 46% 達 29.35 億美元。CEX 遭駭 14.6 億美元居首，AI 深偽技術騙過 KYC 成新型威脅，朝鮮 Lazarus Group 前九月竊取 16.45 億美元，柬埔寨匯旺集團因協助洗錢遭美國制裁。

CEX 14.6 億美元駭客事件改寫損失紀錄

2025 年最震撼的安全事件是 CEX 遭駭，單次損失 14.6 億美元創下歷史新高。駭客疑似透過獲取 Safe Wallet 多簽權限發動攻擊，這種針對多重簽名機制的精準打擊暴露了即使是頂級交易所也存在的治理漏洞。

CEX 大佬 Ben Zhou 事後回憶危機處理過程時坦言，攻擊發生在週末凌晨，團隊在數小時內完成緊急應變，包括凍結可疑地址、啟動備用資金池並與鏈上分析公司合作追蹤資金流向。然而，14.6 億美元的損失規模遠超單一企業能承受的範圍，這起事件也引發了關於中心化交易所託管安全的全面反思。

其餘九大損失事件包括 Cetus Protocol 因合約機制漏洞損失 2.3 億美元，Sui 生態主要 DEX 遭此重創後 TVL 蒸發 83%。Balancer V2 因 Stable Pool 交換路徑計算錯誤損失 1.21 億美元，DeFi 協議的複雜性再次成為安全隱患。伊朗交易所 Nobitex 遭親以色列駭客組織攻擊，約 1 億美元資產被銷毀，這起事件將地緣政治衝突延伸至加密貨幣領域。

AI 深偽與社交工程的致命組合

2025 年攻擊手法最顯著的變化是 AI 技術的深度滲透。駭客利用 Deepfake 深度偽造技術，能在視訊會議中偽造企業高管的聲音與影像。香港跨國建築公司 Arup 的員工就因此上當，在「CEO」的視訊指示下轉出鉅款。更可怕的是，駭客還利用 AI 生成的假身份繞過加密貨幣交易所的 KYC 校驗，這讓原本作為反洗錢第一道防線的身份驗證形同虛設。

2025 年六大新型攻擊手法

1. AI 動態惡意代碼生成

· 利用 AI 模型即時生成變種惡意代碼

· 逃避傳統安全軟體的特徵碼檢測

· 每次攻擊的代碼指紋都不相同

2. 招聘面試騙局

· 偽裝成 Web3 公司招募工程師

· 誘導下載含後門的代碼倉庫或測試項目

· 竊取開發者電腦中的私鑰與敏感資訊

3. Clickfix 釣魚攻擊

· 誘導用戶在系統終端執行惡意指令

· 偽裝成技術支援或系統更新

· 繞過瀏覽器安全警告直接執行命令

4. Solana 權限篡改

· 修改帳戶 Owner 權限至駭客地址

· 即使用戶擁有私鑰也無法控制資產

· 利用 Solana 帳戶模型的特殊設計

5. EIP-7702 授權濫用

· 利用以太坊帳戶抽象新特性

· 批量盜取授權過 EIP-7702 的錢包資產

· WLFI 投資者錢包曾因此慘遭清空

6. 供應鏈投毒攻擊

· 在 GitHub 熱門開源工具中植入後門

· 針對 Solana 交易機器人等高流量項目

· 透過 NPM 包更新自動感染開發者環境

社交工程攻擊的成功率遠超技術漏洞利用。許多受害者並非因為智能合約有漏洞或私鑰被暴力破解，而是被精心設計的話術和偽造的身份誘騙。當駭客能用 AI 即時模仿任何人的聲音、製作任何場景的視訊時，傳統的「眼見為憑」已經失效。

供應鏈投毒攻擊更為隱蔽。駭客不直接攻擊目標，而是在開發者依賴的工具和函式庫中下毒。當成千上萬的開發者更新 NPM 包或 Clone GitHub 倉庫時，惡意代碼就會自動進入他們的開發環境。這種攻擊方式的可怕之處在於受害者甚至不知道自己已被入侵，直到資產被盜才發現為時已晚。

朝鮮駭客與跨國洗錢網絡

朝鮮駭客組織 Lazarus Group 仍是 2025 年全球最大的安全風險，僅前九個月就竊取約 16.45 億美元。這個數字超過許多中小型國家的 GDP，顯示國家級駭客資源的恐怖實力。Lazarus Group 的洗錢流程已經工業化，透過跨鏈橋將贓款在不同區塊鏈之間轉移，使用 Tornado Cash 等混幣器模糊資金來源，並將多起事件的資金混洗以增加追蹤難度。

柬埔寨匯旺集團（Huione Group）因涉嫌協助大量詐騙資金流動遭美國財政部海外資產控制辦公室（OFAC）制裁。這標誌著反洗錢監管進入跨國執法階段。過去，東南亞被視為加密貨幣監管的灰色地帶,許多洗錢節點在此設立。但美國的長臂管轄權讓這些組織失去國際金融體系的接觸權限，嚴重削弱其運營能力。

慢霧科技總結，2025 年趨勢是攻擊體系更專業、犯罪連結更隱蔽、監管執行更強勢。安全與合規已不再僅是防護能力，而是商業生存的門檻。未來 Web3 行業的生命力將取決於是否能建立更強的安全內控與透明的資金治理模型。