2025币圈安全事件报告：损失29亿美元，AI深伪成黑客新武器

慢霧科技年度报告显示，2025 年区块链安全事件虽从 410 起降至 200 起，但总损失金额暴增 46% 达 29.35 亿美元。CEX 遭駭 14.6 亿美元居首，AI 深偽技术骗过 KYC 成新型威胁，朝鲜 Lazarus Group 前九月窃取 16.45 亿美元，柬埔寨汇旺集团因协助洗钱遭美国制裁。

CEX 14.6 亿美元駭客事件改写损失纪录

2025 年最震撼的安全事件是 CEX 遭駭，单次损失 14.6 亿美元创下历史新高。駭客疑似通过获取 Safe Wallet 多签权限发动攻击，这种针对多重签名机制的精准打击暴露了即使是顶级交易所也存在的治理漏洞。

CEX 大佬 Ben Zhou 事后回忆危机处理过程时坦言，攻击发生在周末凌晨，团队在数小时内完成紧急应变，包括冻结可疑地址、启动备用资金池并与链上分析公司合作追踪资金流向。然而，14.6 亿美元的损失规模远超单一企业能承受的范围，这起事件也引发了关于中心化交易所托管安全的全面反思。

其余九大损失事件包括 Cetus Protocol 因合约机制漏洞损失 2.3 亿美元，Sui 生态主要 DEX 遭此重创后 TVL 蒸发 83%。Balancer V2 因 Stable Pool 交换路径计算错误损失 1.21 亿美元，DeFi 协议的复杂性再次成为安全隐患。伊朗交易所 Nobitex 遭亲以色列黑客组织攻击，约 1 亿美元资产被销毁，这起事件将地缘政治冲突延伸至加密货币领域。

AI 深偽与社交工程的致命组合

2025 年攻击手法最显著的变化是 AI 技术的深度渗透。駭客利用 Deepfake 深度伪造技术，能在视讯会议中伪造企业高管的声音与影像。香港跨国建筑公司 Arup 的员工就因此上当，在「CEO」的视频指示下转出巨款。更可怕的是，駭客还利用 AI 生成的假身份绕过加密货币交易所的 KYC 校验，这让原本作为反洗钱第一道防线的身份验证形同虚设。

2025 年六大新型攻击手法

1. AI 动态恶意代码生成

· 利用 AI 模型即时生成变种恶意代码

· 逃避传统安全软件的特征码检测

· 每次攻击的代码指纹都不相同

2. 招聘面试骗局

· 伪装成 Web3 公司招募工程师

· 诱导下载含后门的代码仓库或测试项目

· 窃取开发者电脑中的私钥与敏感信息

3. Clickfix 钓鱼攻击

· 诱导用户在系统终端执行恶意指令

· 伪装成技术支援或系统更新

· 绕过浏览器安全警告直接执行命令

4. Solana 权限篡改

· 修改账户 Owner 权限至駭客地址

· 即使用户拥有私钥也无法控制资产

· 利用 Solana 账户模型的特殊设计

5. EIP-7702 授权滥用

· 利用以太坊账户抽象新特性

· 批量盗取授权过 EIP-7702 的钱包资产

· WLFI 投资者钱包曾因此惨遭清空

6. 供应链投毒攻击

· 在 GitHub 热门开源工具中植入后门

· 针对 Solana 交易机器人等高流量项目

· 通过 NPM 包更新自动感染开发者环境

社交工程攻击的成功率远超技术漏洞利用。许多受害者并非因为智能合约有漏洞或私钥被暴力破解，而是被精心设计的话术和伪造的身份诱骗。当駭客能用 AI 即时模仿任何人的声音、制作任何场景的视讯时，传统的「眼见为凭」已经失效。

供应链投毒攻击更为隐蔽。駭客不直接攻击目标，而是在开发者依赖的工具和函式库中下毒。当成千上万的开发者更新 NPM 包或 Clone GitHub 仓库时，恶意代码就会自动进入他们的开发环境。这种攻击方式的可怕之处在于受害者甚至不知道自己已被入侵，直到资产被盗才发现为时已晚。

朝鲜駭客与跨国洗钱网络

朝鲜駭客组织 Lazarus Group 仍是 2025 年全球最大的安全风险，仅前九个月就窃取约 16.45 亿美元。这个数字超过许多中小型国家的 GDP，显示国家级駭客资源的恐怖实力。Lazarus Group 的洗钱流程已经工业化，通过跨链桥将赃款在不同区块链之间转移，使用 Tornado Cash 等混币器模糊资金来源，并将多起事件的资金混洗以增加追踪难度。

柬埔寨汇旺集团（Huione Group）因涉嫌协助大量诈骗资金流动遭美国财政部海外资产控制办公室（OFAC）制裁。这标志着反洗钱监管进入跨国执法阶段。过去，东南亚被视为加密货币监管的灰色地带，许多洗钱节点在此设立。但美国的长臂管辖权让这些组织失去国际金融体系的接触权限，严重削弱其运营能力。

慢霧科技总结，2025 年趋势是攻击体系更专业、犯罪连接更隐蔽、监管执行更强势。安全与合规已不再仅是防护能力，而是商业生存的门槛。未来 Web3 行业的生命力将取决于是否能建立更强的安全内控与透明的资金治理模型。