2025年4月,去中心化金融(DeFi)協議於15宗駭客事件中共損失9,250萬美元。根據區塊鏈安全公司Immunefi的最新月度報告,這數字比2024年4月同期增長27.3%,更是2025年3月損失額(4,140萬美元)的一倍有多。
這驚人激增再次印證業界普遍認為DeFi技術基礎仍極度脆弱。儘管屢遭高調攻擊並獲資安專家不斷示警,但這情況依然持續。4月的駭客損失令數據更令人憂慮:2025年加密貨幣遭駭總損失已達17.4億美元,在僅僅四個月內就超過2024年全年總損失14.9億美元。
「我們目睹的不單是一時的激增,而是去中心化協議設計、推出及維護上的根本安全危機。」ChainSecurity首席研究員陳瑪麗亞說:「這行業正構建日益複雜的金融基建,卻沒經過傳統金融體系所需的嚴密審核。」
4月大多數攻擊鎖定了知名區塊鏈網絡,所有攻擊均屬技術性漏洞利用,並非社交工程或詐騙。15宗事件中,有數宗無論規模或攻擊手法都相當矚目:
UPCX 協議:7,000萬美元
本月最大損失來自UPCX,一個跨鏈支付協議,自2024年底推出以來,TVL曾經超過3億美元。駭客於4月12日發現該協議跨鏈訊息驗證機制存在關鍵漏洞。
區塊鏈情報公司Chainalysis的初步法證分析指出,攻擊者利用UPCX在不同EVM相容鏈上驗證交易簽章的細微瑕疵,並於網絡壅塞期間精準發動攻擊,繞過驗證步驟,同時從多個流動性池非法提現。
Optimism Security Labs創辦人托馬斯表示:「UPCX事件證明跨鏈橋依然是生態中最脆弱的基礎設施之一。即使歷經Wormhole、Ronin等重大事件,業界對安全跨鏈訊息的複雜性依然低估。」
UPCX已公布受害用戶賠償計劃,但細節尚待進一步調查。
KiloEx:750萬美元
主打期權交易的去中心化交易所KiloEx,於4月19日遭遇高度複雜的報價預言機操控攻擊,損失750萬美元。駭客透過操控KETH/ETH期權合約的參考市場流動性,暫時壓低預言機價格。
攻擊者先在多個市場進行協同交易,故意壓低預言機價格,再利用KiloEx自動清算機制,買入大幅折讓的期權合約,隨後恢復報價。
Paradigm資深資安研究人員Samczsun表示:「預言機攻擊手法日益謹密。今日駭客已懂得市場微結構,能製造技術上不違規但可套利的特殊環境。」
其他重大事件
4月其餘事件合共損失1,500萬美元,包括:
- Loopscale:借貸合約重入漏洞被駭,損失580萬美元
- ZKsync:零知識驗證環節出漏洞,損失500萬美元
- Term Labs:智能合約互動未檢查回傳值,被盜150萬美元
- Bitcoin Mission:包裝比特幣訪問控制不足,被盜130萬美元
- The Roar:閃電貸操作攻擊,損失79萬美元
- Impermax:獎勵計算精準度誤差,損失15.2萬美元
- Zora:NFT元數據被操控,損失14萬美元
- ACB:初始化功能未受保護,損失8.4萬美元
以太坊穩居一線攻擊目標
從區塊鏈分布來看,老牌生態依然漏洞頻生。以太坊為主要目標,有5宗(佔總數33.3%),BNB鏈4宗(26.7%),而Coinbase的L2網路Base也有3宗重大事件(20%),顯示新興網路亦開始受重視。
MIT密碼學教授Jenna Rodriguez解釋:「駭客追錢,但亦偏好有可侵入整合點的網絡。以太坊資金體量最大自然成目標,新興L2如Base因新技術未經嚴格考驗,同樣引來更多駭客關注。」
其餘如Arbitrum、Solana、Sonic和ZKsync等亦均有事件發生,顯示無任何生態能完全免疫。Solana今年僅一宗事故,已較往年多宗高調駭客事件有所改善。
歷史背景
回顧歷年數據,這波駭客損失升勢更為明顯。Chainalysis與CipherTrace資料顯示,年度駭損趨勢如下:
- 2019年:3.7億美元
- 2020年:5.2億美元
- 2021年:32億美元
- 2022年:38億美元
- 2023年:17億美元
- 2024年:14.9億美元
- 2025年(1-4月):17.4億美元
以今年增速推算,2025年極可能超越2022年,當年Terra/Luna系統崩潰帶來史無前例的脆弱。
Aave前資安負責人Michael Lewellen指出:「值得擔憂的是,這一波駭客浪潮發生於市場穩定時期。不同於2022年市場大波動、清算連環爆發導致特例事件,現時這些協議在正常運作下仍然失守。」
2025年首季埋下四月暴增伏筆
四月爆發前,首季已經災情慘重。年初主流中心化交易所Bybit,因多個熱錢包私匙遭竊,被盜高達14.6億美元(非DeFi案,但凸顯行業託管體系漏洞)。
其他Q1重點事件包括:
- Infini Protocol:複雜套利攻擊,涉多個借貸平台,損失5,000萬美元
- zkLend:閃電貸操作惡意操控抵押值,被盜950萬美元
- Ionic:社交工程取得特權功能,損失850萬美元
配合四月最新數字,反映整個行業面對日益精密的威脅,難以自保。
攻擊手法進化
安全專家觀察2024年至2025年間手法顯著升級。早期DeFi駭客主要針對明顯漏洞:管理員權限未設防、硬編碼密鑰、簡單重入等。如今攻擊針對更深層的協議設計假設。
「現代DeFi攻擊越來越針對協議設計背後的數學假設,而非純粹實作失誤。」MIT數位貨幣計畫主任Neha Narula說:「駭客會找出經濟模型邊界漏洞,操控多協議臨時不平衡,以及利用系統間的精細交互。」
近期常見攻擊模式包括:
零知識證明漏洞
隨ZK-rollup及私隱技術興起,針對其密碼學基礎的攻擊也大增。ZKsync於4月損失500萬美元,正是「理論嚴謹但實作存瑕疵」的案例。
跨鏈橋攻擊
雖不斷示警,跨鏈橋仍屢受重創。UPCX損失7,000萬美元,與Wormhole(3.2億)、Ronin(6.2億)、Nomad(1.9億)等歷史事件並列。
預言機操控
價格預言機攻擊日益複雜,駭客能在多市場協作,短暫扭曲價格來源。
治理機制攻擊
雖4月較少見,但治理制度相關漏洞憂慮持續升溫。駭客藉閃電貸或資源累積取得決策權,左右協議。
行業回應:制度應變進行中
面對愈趨嚴峻的安全局面,行業並非被動應對。部分主要應對方式如下:
審計標準升級
Trail of Bits、OpenZeppelin及Consensys Diligence等頂級審計公司,已制定涵蓋經濟攻擊模擬、形式化驗證等更全方位的審查流程。 Sure! Here's the translation in zh-Hant-HK, with markdown links left untranslated as requested:
「而家我哋見到協議要求嘅審計比一年前更加全面同嚴謹,」安全公司Ottersec創辦人Yan Michalevsky咁講。「而家啲項目通常會進行多次獨立審計、適用時進行形式驗證,仲有經濟模型模擬,先至部署。」
保險方案
鏈上保險協議,例如Nexus Mutual同InsurAce,已經擴闊咗佢哋嘅保障範圍,不過由於索償頻率上升,保費亦大幅增加。去到2025年5月,大約有五億美元DeFi資產獲得某程度上嘅攻擊保障——但都只係佔DeFi總鎖倉價值(TVL)未夠1%。
漏洞懸賞計劃升級
Immunefi表示,漏洞懸賞獎金平均每年上升64%,而家針對關鍵漏洞嘅最高獎金經常超過一百萬美元。2025年3月,一位白帽駭客因為發現Uniswap V4一個關鍵漏洞,收到250萬美元——創下加密貨幣歷史上最大漏洞懸賞獎金紀錄。
監管機構關注
全球監管機構已經注意到安全危機。歐盟嘅Markets in Crypto-Assets(MiCA)框架已於2025年初全面實施,而家要求歐洲轄區內DeFi協議要符合最低安全標準。
喺美國,證券交易委員會(SEC)已經用安全漏洞作為加強執法,針對被認為提供未註冊證券嘅協議採取行動。SEC主席Gary Gensler最近表示:「呢啲駭客事件頻密,正正證明點解做好投資者保障,要延伸到呢啲新型金融產品。」
技術預防:未來路向
安全專家普遍認同有幾項技術改進係解決DeFi漏洞根本原因嘅必要方向:
形式驗證
形式驗證技術,即係用數學方法證明代碼符合規格,越嚟越被視為核心協議組件不可或缺。雖然資源消耗大,但形式驗證可以徹底杜絕一大類漏洞。
「呢個行業要超越『做完審計就上線』嘅模式,轉向有數學保障嘅安全保證,」Zeppelin Solutions創辦人Manuel Araoz講。「涉及用戶資金以十億計協議,形式驗證係最低要求。」
去中心化安全監控
實時監控系統可以識別異常交易模式,正逐漸受到重視。類似Forta Network嘅協議,可以提供去中心化監控,即時標示多鏈可疑活動,有機會加速緊急反應。
延時鎖同斷路器機制
必須性延遲大額資金移動,以及喺出現異常狀況時自動暫停協議運作,呢啲機制有助減低未來被攻擊時嘅損失。
標準化安全框架
多個行業組織正開發專為DeFi而設嘅標準化安全框架,包括Open Zeppelin嘅DeFi Security Alliance同Ethereum Foundation嘅Smart Contract Security Consortium。
創新與安全的平衡
2025年4月嘅攻擊數據,再次警惕大家加密貨幣安全問題依然非常嚴重。單係今年累積損失已達17.4億美元,超過整個2024年,行業面臨重大轉捩點。
「DeFi最大挑戰唔係技術,而係文化,」Dr. Narula總結。「成個行業重視創新速度多過安全,呢種狀況唔改變,呢啲新聞會繼續出現。」
要令DeFi可以吸引主流用戶同機構參與,安全措施必須成熟,以配合協議承擔住咁大嘅財務責任。無許可創新推動咗加密貨幣迅速發展,但如果要做金融基礎設施、處理用戶過十億嘅資金,就要有嚴格安全標準互相平衡。
當行業踏入2025年第二階段,大家都關注協議能否提升安全,之餘又維持DeFi開放同可組合性優勢。呢場技術同文化變革,結果好大機會決定去中心化金融到底係成為全球變革性金融系統,抑或永遠陷於漏洞威脅當中。