2025 年 4 月加密貨幣駭客案飆破 9,250 萬美元：以太坊、BNB 鏈與 Base 成為目標

去中心化金融（DeFi）協議於 2025 年 4 月在 15 起駭客事件中損失 9,250 萬美元。根據區塊鏈安全公司 Immunefi 的最新月報，這比 2024 年 4 月增加 27.3%，且超過 2025 年 3 月損失的 4,140 萬美元。

這波駭客激增強化專家對 DeFi 技術根基仍危機四伏的共識。2025 年迄今，加密貨幣墊付損失已達 17.4 億美元，僅四個月便超過 2024 年全年總損失 14.9 億美元。

「我們目睹的不僅是一時的激增，而是去中心化協議設計、部署與維護方式的根本資安危機。」ChainSecurity 首席研究員 Maria Chen 說道。「產業持續建立愈加複雜的金融基礎設施，但底層程式碼未經傳統金融系統同等嚴格的檢核。」

4 月的駭客案件主要鎖定主流區塊鏈網絡，所有攻擊均屬技術滲透，而非社會工程或詐欺。15 起細節已公開的案件中，下列尤為顯著：

UPCX 協議：7,000 萬美元

本月最大漏洞發生於 UPCX——一個自 2024 年底上線、累積超過 3 億美元 TVL 的跨鏈支付協議。4 月 12 日，攻擊者發現其跨鏈訊息驗證機制的重大漏洞。

根據 Chainalysis 的初步鑑識，駭客利用 UPCX 在處理不同 EVM 相容鏈的交易簽章驗證時的細微缺陷，在網路壅塞期間精確執行攻擊，繞過驗證步驟、同時從多個流動性池非法提款。

「這次事件展現跨鏈橋梁依然是生態系最脆弱的基礎設施之一，」Optimism Security Labs 創辦人 Thomas Walton-Pocock 指出。「即使有如 Wormhole や Ronin 2022 年駭客事件的前車之鑑，專案團隊仍低估安全跨鏈訊息的複雜性。」

UPCX 已宣布補償受害用戶，調查與詳情尚待公佈。

KiloEx：750 萬美元

KiloEx 是主打選擇權交易的去中心化交易所，於 4 月 19 日遭遇精心設計的價格預言機操弄攻擊，損失 750 萬美元。攻擊者利用其參考市場流動性暫時減少的時機，操控 KETH/ETH 選擇權合約的預言機報價。

駭客先在多平台協同交易，壓低預言機價格，接著利用 KiloEx 自動清算機制，在預言機價格回升前大量購入折扣合約。

「預言機攻擊越來越有系統性，」Paradigm 資安專家 Samczsun 表示。「駭客愈懂市場微觀結構，即使未違反任何單一協定規則，仍可在協定交互間製造套利機會。」

其他重大事件

4 月其他駭客事件累計損失達 1,500 萬美元：

Loopscale：其借貸合約被重入攻擊，損失 580 萬美元
ZKsync：零知識證明驗證電路漏洞，遭盜 500 萬美元
Term Labs：智能合約互動未驗證回傳值，損失 150 萬美元
Bitcoin Mission：包裝 BTC 未妥善控管存取權限，損失 130 萬美元
The Roar：閃電貸操作損失 79 萬美元
Impermax：獎勵計算精度誤差，損失 15.2 萬美元
Zora：NFT 資產元資料遭竄改，流失 14 萬美元
ACB：初始化函式未防護，損失 8.4 萬美元

以太坊仍是頭號標靶

攻擊事件分布顯示，即便是成熟生態系也難以倖免。以太坊是主攻焦點，共 5 起（佔 33.3%），BNB 鏈 4 起（26.7%）。Base（Coinbase 的 Layer-2）共 3 起重大漏洞（20%），凸顯新生網絡安全壓力。

「駭客跟著資金走，也偏好整合點多、漏洞多的新網絡，」MIT 密碼學教授 Jenna Rodriguez 解釋。「以太坊 TVL 居高不下，成為永久標靶；但隨著尚未充分驗證的新技術如 Base 等 Layer-2 推出，注意力也隨之轉向。」

其他受影響的還有 Arbitrum、Solana、Sonic、ZKsync，證明沒任何區塊鏈生態系可完全免於資安威脅。Solana 僅一案，較前幾年多起高知名度駭客事件已大有改善。

歷史脈絡

要理解 4 月駭客案的嚴重性，需對歷年數據有所了解。Chainalysis 與 CipherTrace 資料指年損失如下：

2019：3.7 億美元
2020：5.2 億美元
2021：32 億美元
2022：38 億美元
2023：17 億美元
2024：14.9 億美元
2025（1-4 月）：17.4 億美元

今年失竊加速，或將超越 2022 年 Terra/Luna 崩跌與後續連鎖事件的紀錄。

「更令人憂心的是，這波駭客案出現在市場相對穩定期間，」Aave 前資安主管 Michael Lewellen 指出。「不像 2022 年市況劇烈起伏、流動性連環清算下的特殊背景，現今駭客針對正常運作協議便順利得手。」

2025 Q1：4 月危機的前奏

4 月駭客案是在慘烈第一季的基礎上進一步惡化。年初主流集中式交易所 Bybit 遭駭客攻破多個熱錢包私鑰，一次損失達 14.6 億美元。雖非 DeFi 漏洞，卻點出更廣泛加密產業的託管脆弱性。

其他 Q1 重大全球駭客案包括：

Infini Protocol：以多平台套利手法損失 5,000 萬美元
zkLend：閃電貸攻擊操控抵押品價值盜走 950 萬美元
Ionic：社會工程破壞導致敏感功能權限外洩，損失 850 萬美元

結合 4 月數據，產業面對愈趨複雜威脅難以應對的困境愈趨明顯。

攻擊手法的演變

研究人員注意到，2024-2025 年攻擊手法顯著升級。過去主要針對明顯不當，如未防護管理權限、硬編碼私鑰、重入等漏洞。現今攻擊難度顯著提高。

「現代 DeFi 攻擊多針對協議設計底層數學假設，而非單純實作失誤，」MIT 數位貨幣倡議主任 Neha Narula 解釋。「駭客善用經濟模型邊際案例，跨協議短暫失衡，以及本應獨立系統間的隱晦交互。」

近期常見攻擊向量包括：

零知識證明漏洞

隨 ZK-rollups 等隱私解決方案普及，針對其密碼學基礎的攻擊增加。ZKsync 4 月損失 500 萬美元即驗證即便數學嚴謹的系統，實作上仍可能有漏洞。

跨鏈橋安全

儘管多年警告，區塊鏈橋接協議依然脆弱。UPCX 7,000 萬美元損失，與過往 Wormhole（3.2 億）・Ronin（6.2 億）、Nomad（1.9 億）同屬歷史性事件之一。

預言機操弄

價格預言機攻擊手法日益複雜，組織性地操控多個交易市場價格，以短暫扭曲預言機報價。

治理攻擊

雖 4 月尚不多見，治理機制攻擊風險漸升。近期案例多針對投票機制，駭客藉閃電貸等資源暫時掌控決策權。

機構因應措施：產業正逐步調整

面對與日俱增的資安威脅，加密產業並未坐以待斃，紛紛祭出新型應對機制：

強化審計標準

許多頂尖審計公司如 Trail of Bits、OpenZeppelin 及 Consensys Diligence，已採用更加嚴謹的審核流程，納入經濟攻擊模擬、形式分析等手段。 Sure! Here is your content translated to Traditional Chinese (Taiwan) as requested.
Markdown links are not translated per your instruction.

我們觀察到現在協議要求的審計比一年前更加徹底，Ottersec 資安公司的創辦人 Yan Michalevsky 表示。「現在專案通常都會經過多次獨立審計、在適用時採用形式化驗證，並於上線前進行經濟模擬。」

保險解決方案

像 Nexus Mutual 及 InsurAce 這類鏈上保險協議已擴大其保障項目，但因應理賠案件頻率增加，保費也大幅上升。截至 2025 年 5 月，約五億美元的 DeFi 資產擁有某種型式的漏洞保護——但這仍然僅佔 DeFi 總鎖倉價值（TVL）不到 1%。

漏洞獎金升級

Immunefi 報告指出，漏洞獎金的年度平均增幅為 64%，重大漏洞的最高獎金現在常常超過一百萬美元。2025 年 3 月，一位白帽駭客因發現 Uniswap V4 的重大漏洞，獲得 250 萬美元獎金——這也是加密貨幣史上最高的漏洞獎金支付。

監管關注

全球各地監管機構也注意到這場資安危機。歐盟的《加密資產市場法案》（MiCA）於 2025 年初全數落地後，目前規定在歐洲境內運作的 DeFi 協議必須符合最低資安標準。

在美國，證券交易委員會（SEC）則以資安漏洞為額外理由，對被認定為發行未註冊證券的協議採取執法行動。SEC 主席 Gary Gensler 近期表示：「這些駭客事件的頻率正是為何投資者保護措施必須涵蓋這些新型金融商品的最佳證明。」

技術防堵：邁向未來

資安專家廣泛認同，若要解決 DeFi 漏洞的根本原因，必須具備若干必要的技術改進：

形式化驗證

形式化驗證技術能以數學方式證明程式碼符合規格，現正被視為核心協議元件不可或缺的一環。雖然資源消耗大，但形式化驗證有能力徹底消除整類漏洞。

「這個產業需要超越審計即上線的模式，往數學上可證明安全性的保障邁進，」Zeppelin Solutions 創辦人 Manuel Araoz 指出。「對於管理數十億美元用戶資金的協議來說，形式化驗證應該是最低要求。」

去中心化資安監控

能即時偵測異常交易模式的監控系統正逐漸受到關注。像 Forta Network 這類協議提供去中心化監控，能夠跨多條鏈監測可疑行為，有潛力讓緊急應對更為及時。

延時與斷路機制

實施資金大額移動的強制延時，以及異常狀況時自動暫停運作的斷路機制，皆有助於降低未來漏洞的衝擊。

標準化資安框架

多個產業組織正著手制定專為 DeFi 設計的標準化資安框架，包括 Open Zeppelin 的 DeFi Security Alliance 及以太坊基金會的 Smart Contract Security Consortium 等。

創新與安全的平衡

2025 年 4 月的漏洞爆發數據再次警示，加密貨幣資安挑戰依然迫在眉睫。從年初至今，損失金額 17.4 億美元已超越 2024 全年，產業正面臨關鍵轉折點。

「DeFi 面臨的根本挑戰不是技術——而是文化，」Dr. Narula 總結道。「這個產業總是將創新速度擺在資安之前，只要這個天秤沒有移動過來，我們就會持續看到這類頭條。」

若 DeFi 要邁向主流採用及機構參與，安全實務就必須與其肩負的龐大金融責任相匹配。促成加密貨幣高速創新的無許可創新精神，必須納入嚴謹且適合管理數十億美元用戶資金的資安規範。

當產業步入 2025 年的第二個三分之一，各界將緊盯協議是否真能在不犧牲開放性與組合性的前提下，落實更強韌的資安措施。這項技術與文化的雙重考驗，或將決定去中心化金融究竟能否成為改變全球的金融體系，還是會永遠處於被剝削的邊緣。