Back to Blog

2025年十大“震撼”安全事件

Code Auditing
February 14, 2026
3 min read

2025 年对加密货币安全领域来说又是充满挑战的一年。一系列高影响力的事件震动了整个生态系统,并造成了实质性的损害,影响了该领域内的用户、团队和社区。尽管结果往往令人痛苦,但每一件事都强化了一个众所周知的真理:安全必须被视为首要优先级。

为了帮助社区从过往事件中吸取教训,BlockSec 挑选了今年最突出的十起安全事件。选择这些案例不仅是因为造成的损失规模,还因为它们涉及独特的攻击技术、执行过程中出人意料的诡计,以及揭示出的全新或尚未被充分探索的攻击面。

在本文中,我们将重点介绍 2025 年排名前十的安全事件,并分享每一项事件为何值得关注。我们还将针对每一个案例发布专门的后续报告,详细剖析其根本原因和完整的攻击路径。

序号 名称 日期 损失金额 事件链接 报告链接
1 Cetus 2025/05/22 $2.23亿 https://blocksec.com/security-incident?hash=6hAcrsQpT83mz2hVpkf87EYdTSL8bwy5dVUNZiVBDrtt 《#1 Cetus 事件》
2 Bybit 2025/02/21 $15亿 https://blocksec.com/security-incident?hash=0xb61413c495fdad6114a7aa863a00b2e3c28945979a10885b12b30316ea9f072c 《#2 Bybit 事件》
3 Balancer V2 2025/11/03 $1.25亿 https://blocksec.com/security-incident?hash=0x5258dcfdd5fa04a81648e1e6d8caffd7438cf27d6bcfc8d1cb0e8c005307eee1
4 GMX 2025/07/09 $4200万 https://blocksec.com/security-incident?hash=0x03182d3f0956a91c4e4c8f225bbc7975f9434fab042228c7acdc5ec9a32626ef
5 Yearn Finance 2025/11/30 $900万 https://blocksec.com/security-incident?hash=0x53fe7ef190c34d810c50fb66f0fc65a1ceedc10309cf4b4013d64042a0331156
6 Cork Protocol 2025/05/28 $1200万 https://blocksec.com/security-incident?hash=0xfd89cdd0be468a564dd525b222b728386d7c6780cf7b2f90d2b54493be09f64d
7 Trust Wallet 2025/12/25 $850万 https://blocksec.com/security-incident?hash=0x7ed83315359deef0acd92bd96320b27dc7d36238bde8d904a67623c2eb43c682
8 Bunni 2025/09/02 $840万 https://blocksec.com/security-incident?hash=0x1c27c4d625429acfc0f97e466eda725fd09ebdc77550e529ba4cbdbc33beb97b
9 1inch 2025/03/05 $500万 https://blocksec.com/security-incident?hash=0x04975648e0db631b0620759ca934861830472678dae82b4bed493f1e1e3ed03a
10 Panoptic 2025/08/25 $40万
*白帽救援
https://blocksec.com/security-incident?hash=0x67a45dfe5ff4b190058674d7c791bbdc48e889f319f937c24fa13a5f9093f088

Cetus 事件:2025 年最大的 DeFi 黑客攻击

摘要

2025 年 5 月 22 日,Sui 上最大的集中流动性 DEX Cetus Protocol 遭到攻击,随着多个资金池的流动性被抽干,估计损失约 2.23 亿美元。根本原因是定点数 u256 数学运算中的一个错误溢出防护助手(checked_shlw()):一个不正确的阈值允许了不安全的 << 64 左移操作继续执行,从而静默截断了高位。通过精心选择流动性规模和紧密的刻度范围(tick ranges),攻击者让 Cetus 将所需的代币存款计算为约 1 个单位,同时将巨额流动性计入 LP 头寸,随后移除该膨胀的头寸以提取真实的储备资产。

选择理由

定点数助手中一个错误的比较就足以抽走 2.23 亿美元。攻击者没有操纵预言机或利用治理系统:整个攻击完全依赖于纯数学边界情况(移位 + 截断)来创建近乎免费的流动性,并确定

Sign up for the latest updates
约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

~$1800万损失:jaredFromSubway、Aztec等项目受损 | BlockSec周报
Security Insights

~$1800万损失:jaredFromSubway、Aztec等项目受损 | BlockSec周报

本周区块链安全报告涵盖2026年6月15日至21日,以太坊和BNB链共发生3起重大事件,总损失约1830万美元,其中2起进行详细分析。jaredFromSubway事件揭示了一种反向授权攻击模式:MEV机器人主动将自身资产授权给不可信第三方合约套利,攻击者构造虚假包装代币和流动池,触发真实事件但从未消耗授权额度,损失约1500万美元。Aztec事件中,逃生舱ZK电路对`old_data_root`的两个见证值缺少相等约束,攻击者得以针对伪造Merkle树证明虚假票据所有权并通过链上根验证。

Web3伴侣:开源安全智能代理钱包

Web3伴侣:开源安全智能代理钱包

BlockSec开源Web3 Companion——一款以安全为核心的智能钱包,将其AI代理视为不可信实体,通过密钥隔离、硬性策略和Passkey保护链上资产。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit