【0xMedia 分析】2025上半年较大被盗事件

根据知名区块链情报公司 TRM Labs 的报告，2025年上半年，加密货币行业遭黑客洗劫超21亿美元，其中超过80%的损失来自基础设施攻击。

TRM Labs 指出，许多攻击手法涉及社交工程和内部权限泄露，最终导致私钥被盗、助记词被利用，以及前端界面被篡改。这类攻击平均造成的损失是其他类型的十倍。此外，智能合约中的闪电贷攻击和重入漏洞也占据了约12%的损失比例，凸显出链上协议在安全性方面仍存在广泛的结构性隐患。

在这篇盘点中，我们将带你回顾2025年迄今为止最具代表性的五起链上攻击事件，详解攻击手法、损失情况、市场反应与后续补救措施。

1. Bybit 黑客入侵

攻击时间：2025年2月21日

盗取金额：约14.6亿美元（超越2021年Poly Network 被盗6.11亿美元记录，成为加密货币史上最大单次盗窃事件。）

✍️攻击细节：
事件当天，Bybit 在例行操作中从其以太坊多签冷钱包向热钱包转移了首笔 30,000 枚 ETH。然而，朝鲜国家支持的黑客组织 Lazarus Group 早已通过一场精心设计的钓鱼攻击，利用 Safe 多签冷钱包的用户界面漏洞实施入侵。
攻击者伪装了特定交易，悄然篡改了冷钱包合约的逻辑，从而成功窃取了全部资金，并将赃款分散转入 39 个不同地址。

市场波动：此次事件导致BTC价格24小时内多次跳水，跌破95000美元/枚，ETH价格下跌4%，17万投资者爆仓。

后续措施：Bybit 未能追回全部被盗的 14.6 亿美元，只收回了约 4289 万美元，约占损失的 2.9%。Bybit通过动用内部储备、紧急贷款以及行业伙伴的支持，在72小时内补齐了大部分资金缺口，并郑重承诺全额赔付用户。交易和提现功能于 3 月初开始逐步恢复，到 3 月底已全面恢复正常运营。

2. Cetus Protocol 协议攻击

攻击时间：2025年5月22日

盗取金额：约2.23亿美元

✍️攻击细节：此次攻击的核心在于利用了合约中 get_delta_a 函数的溢出漏洞，攻击者绕过了 checked_shlw 的溢出检测机制，从而成功操控参数，导致系统错误计算所需的 haSUI 代币数量。借此，攻击者以极小的代币成本兑换到了大量的流动性资产。

市场波动：导致SUI代币价格将下跌约 15% 至 3.81 美元，市值损失约5亿美元。Cetus原生代币CETUS从0.26美元跌至0.15美元，市值缩水约60%。Sui 生态 TVL 瞬间蒸发近 5.9 亿美元

后续措施：Sui 验证者成功识别了攻击者的地址，并迅速冻结了大约 1.62 亿美元的被盗资金。随后，Sui 社区在 5 月 29 日通过治理投票，决定将这笔被冻结的资产转移到一个多签钱包，由 Cetus 团队、Sui 基金会和安全公司 OtterSec 共同管理，准备用于后续赔偿受影响的用户。

相关事件：2024年12月，Sui发生另一起疑似因私钥泄露导致约2900万美元（627万枚SUI）被盗事件。

3. Nobitex 被盗事件

攻击时间：2025年6月18日

盗取金额：约 1 亿美元（涉及 BTC、ETH、Doge、XRP、SOL、TRX 和 Ton 等多种加密货币。）

✍️攻击细节：Nobitex是伊朗最大的加密货币交易所，拥有超过700万用户，被指控与伊朗政府和IRGC有关联，用于规避国际制裁。事件发生在以色列与伊朗冲突升级期间，显示加密货币平台成为地缘政治攻击目标。黑客获取了对 Nobitex 热钱包的控制权，攻击者不仅转移了资金，还主动将大量资产转入特制销毁地址，摧毁了Nobitex 交易所95%的资产。

市场波动：USDT 黑市溢价飙升 15%–20%，BTC/IRR 汇率暴涨约 23%，大量用户出于避险心理抢购加密资产，由于供不应求市场流动性也变得紧张。

后续措施：平台确认热钱包系统遭到入侵，但冷钱包资产安然无恙。为确保安全，所有冷钱包资产已被转移到更可靠的存储环境中。6 月 25 日，平台启动了分阶段的服务恢复计划，首先要求用户通过网页重新验证身份，并在 6 月底逐步恢复了充值、提现和交易等核心功能。

4. zkLend 漏洞攻击

攻击时间：2025年2月12日

被盗金额：约957万美元

✍️攻击细节：此次攻击的根本原因在于市场合约所采用的 SafeMath 库 存在设计缺陷。在执行除法运算时，合约直接使用整除操作，导致在提现操作中计算实际需销毁的 zToken 数量时出现向下取整漏洞。攻击者正是利用了这一精度缺失的问题，从中非法获取了额外收益。

后续措施：zkLend 发布声明，允许攻击者保留 10% 白帽赏金，并归还剩余资金，但攻击者未按期归还大部分资产，平台宣布使用现有约 20 万美元资源为用户提供赔偿。2025年6月25日，zkLend 正式宣布“停服清盘”，暂停所有业务。

相关事件：黑客从 zkLend 窃取了 2930 枚 ETH 后意外访问了一个冒充 TornadoCash 的钓鱼网站，导致全部资金被另一名黑客窃走，上演“黑吃黑”。

5. zkSync空投合约漏洞

攻击时间：2025年4月15日

被盗金额：约500万美元

✍️攻击细节：攻击者通过获取 zkSync 空投合约的管理员权限，利用 sweepUnclaimed() 函数铸造了约 1.11 亿个未认领的 ZK 代币，此次攻击仅涉及到空投分发合约，核心协议、治理合约和用户资金仍然安全。

市场波动：ZK 代币价格在事件发生后下跌约 20%，从 0.047 美元降到0.039美元。

后续措施：攻击者同意返还 90% 的被盗资产，保留 10% 的赏金。截至 4 月 23 日，ZKSync 安全委员会已经收到约 570 万美元的资产返还。

6. Resupply 价格操纵攻击

攻击时间：2025 年 6 月 26 日

被盗金额：960 万美元

✍️ 攻击细节：
2025 年 6 月 26 日，去中心化金融（DeFi）协议 Resupply 的 wstUSR 市场 遭遇安全漏洞，导致约 960 万美元 的加密资产被盗。攻击者通过操纵协议与合成稳定币 cvcrvUSD 的集成逻辑以及 ResupplyPair 合约 中的漏洞，成功进行了一次价格操纵攻击。通过人为抬高份额价格，攻击者以极少的抵押借出了 1000 万 reUSD，随后将其兑换为 ETH 并转出。

后续措施：
事件发生后，相关受影响合约已被识别并暂停使用。Resupply 开发者 C2tP 个人捐赠了 140 万美元，以协助偿还协议的坏账。

7. KiloEx 预言机价格操控攻击

攻击时间：2025 年 4 月 14 日

被盗金额：750 万美元

✍️ 攻击细节：
攻击者利用了 KiloEx 平台在价格预言机访问控制方面的漏洞，通过闪电贷（即短期流动性）欺骗系统误判价格。攻击者借此在开设杠杆仓位时操控预言机报告极低的 ETH 价格，制造虚假盈利假象，随后从 KiloEx 金库中提取资金。此次攻击横跨 Base、BNB Chain 和 Taiko 多条链，攻击者利用 KiloEx 的跨链结构来最大化获利，在平台反应之前完成操作。

后续措施：
KiloEx 随即暂停平台运营，并与 Binance 安全团队、慢雾科技等安全公司合作追踪资金。攻击者于 4 月 18 日 全额归还被盗资产，KiloEx 向其支付 10% 白帽赏金（约 75 万美元），并承诺不追究法律责任。平台现已恢复运营，并推出补偿计划，包括为 Hybrid Vault 用户提供额外 10% 年化收益率（APY），以及提升 VIP 用户等级。

8. Infini 攻击事件

攻击时间：2025 年 2 月 24 日

被盗金额：5000 万美元

✍️ 攻击细节：
该攻击最初被注意到是在一笔看似正常的大额交易后，一个新钱包提取了合约中全部锁仓资金。据称，该攻击者的钱包地址原本是 Infini 项目方要求其创建合约时使用的地址，但项目方并不知情该地址仍保留管理员权限，攻击者利用此权限调用函数，将所有流动性资产转出。

后续措施：
事件发生后，Infini 提供了 20% 的赏金 鼓励黑客归还资金，并在链上发布信息表示已掌握攻击者的 IP 和设备信息，持续监控相关地址并保留追责权利。平台提出若归还 80% 资金 即可放弃法律追责。但尽管多次警告，攻击者始终未通过指定地址归还任何资产。目前，Infini 已在 香港对相关开发者及若干未知身份人士提起诉讼。

9. UPCX 攻击事件

攻击时间：2025 年 4 月 1 日

被盗金额：7000 万美元

✍️ 攻击细节：
Web3 支付服务平台 UPCX 遭遇智能合约权限攻击，损失约 7000 万美元 的 UPC 代币。攻击者通过获取一个项目地址的访问权限，升级了 ProxyAdmin 合约，并借此权限调用 withdrawByAdmin 函数，大规模提取 1840 万枚 UPC（约占总代币供应的 2.36%）。据安全公司 Cyvers 报告，相关受损钱包均为 UPCX 管理团队所有。

后续措施：
攻击发生后，协议立即停止存取款操作。根据 CoinGecko 数据，事件发生期间 UPC 代币价格从高点 4.06 美元 跌至 3.77 美元，跌幅约 7%。

10. Abracadabra.Money 闪电贷清算攻击

攻击时间：2025 年 3 月 24 日

被盗金额：1300 万美元

✍️ 攻击细节：
攻击者利用闪电贷技术进行攻击，该技术允许借款人在无需抵押的情况下，借入资金并在同一个区块中偿还。攻击者通过操控 Abracadabra 的 MIM 清算流程，结合 GMX V2 的 GM 池完成了攻击。据研究员 Weilin Li 在 X 平台解释，攻击者在闪电贷状态下自我清算，并从清算激励中获利。

后续措施：
Abracadabra 在得知问题后，立即暂停所有受影响合约的借贷功能，并与包括 Guardian Audits 和 GMX 在内的安全公司合作，调查攻击细节。Abracadabra 没有选择法律追责，而是向攻击者提出协议：归还资金即可保留 20% 作为赏金。这并非 Abracadabra 首次遭遇安全事件 —— 在 2024 年，该平台曾遭黑客攻击损失 649 万美元，导致其稳定币 Magic Internet Money（MIM）短暂脱锚。

11. Hyperliquid 市场操纵攻击

攻击时间：2025 年 3 月 26 日

被盗金额：1200 万美元

✍️ 攻击细节：
攻击者在冷门代币 JellyJelly 上开设了两个多头头寸和一个空头头寸。该代币市值仅约 2500 万美元，而空头仓位就高达 410 万美元，占据市值相当大比例。随后，攻击者在多个交易所人为拉高 $JELLY 价格，导致其价格在一小时内飙升 400%。由于 Hyperliquid 的继承机制，该空头头寸被 Hyperliquid 流动性池（HLP）继承，进而使池中 2.3 亿美元资金面临清算风险。

后续措施：
当损失达 1200 万美元时，协议验证者迅速将 $JELLY 代币下架。根据 Arkham 的报告，交易所以 0.0095 美元的价格平仓，该价格正是攻击者第三个账户开空时的入场价。Hyperliquid 于 X 平台宣布暂停 JELLY 永续合约交易，理由是“发现可疑市场活动的证据”。

12. Cork Protocol 智能合约攻击

攻击时间：2025 年 5 月 28 日

被盗金额：1200 万美元

✍️ 攻击细节：
Cork Protocol 的 wstETH:weETH 流动性金库遭遇两种复杂攻击路径，共计被盗 3,761 枚 wstETH：

向量一：攻击者在市场到期前操控 rollover 定价逻辑，仅用 0.000002 枚 wstETH 即获取 3,761 枚 Cover Tokens。

向量二：攻击者部署恶意钩子合约（Hook Contract），绕过 Cork Hook 和 FlashSwapRouter 中的验证流程，非法提取 Depeg Swaps，并清空 PSM 金库。

攻击者随后通过 1inch 交换盗得资产。

后续措施：
事件由 Hypernative 首先报告，Cork 团队随即将事故通报给 Security Alliance，并召集 Spearbit、Quantstamp、Hypernative、Hexagate、zeroShadow、Certora 等安全专家组成“战时指挥室”，追踪恶意钱包、资金与交易行为并标记为恶意活动。Cork 还立即暂停其余四个市场的运作，并禁用创建新市场的功能，目前其他资金未受影响（交易详情公开）。

13. Ionic Money 社会工程攻击

攻击时间：2025 年 2 月 4 日

被盗金额：850 万美元

✍️ 攻击细节：
攻击者假冒为 Lombard Finance 成员，成功诱骗 Ionic 将伪造的 LBTC 代币列入平台资产。随后，攻击者铸造大量伪造代币作为抵押，套取平台流动性池中的资金，并通过 Tornado Cash 混币器清洗后消失。链上侦探 ZachXBT 指出，Ionic 与此前两次被攻击的 Midas 协议有关联，且重用了 Midas 于 2022 年的过时审计报告。

14. Zoth 管理员权限遭窃取

攻击时间：2025 年 3 月 21 日

被盗金额：840 万美元

✍️ 攻击细节：
Zoth 协议的部署者钱包遭黑客入侵，攻击者据此对代理合约进行了恶意升级，将其指向一份含有漏洞的新实现合约。随后，攻击者提取了约 840 万枚 USD0++ 代币，并快速将其兑换为 DAI，最后转为 ETH。据分析，该攻击似乎早在数周前就开始筹备，相关账户均通过 ChangeNOW 进行资金准备与转移。