2025 年对加密货币安全领域来说又是充满挑战的一年。一系列高影响力的事件震动了整个生态系统,并造成了实质性的损害,影响了该领域内的用户、团队和社区。尽管结果往往令人痛苦,但每一件事都强化了一个众所周知的真理:安全必须被视为首要优先级。
为了帮助社区从过往事件中吸取教训,BlockSec 挑选了今年最突出的十起安全事件。选择这些案例不仅是因为造成的损失规模,还因为它们涉及独特的攻击技术、执行过程中出人意料的诡计,以及揭示出的全新或尚未被充分探索的攻击面。
在本文中,我们将重点介绍 2025 年排名前十的安全事件,并分享每一项事件为何值得关注。我们还将针对每一个案例发布专门的后续报告,详细剖析其根本原因和完整的攻击路径。
Cetus 事件:2025 年最大的 DeFi 黑客攻击
摘要
2025 年 5 月 22 日,Sui 上最大的集中流动性 DEX Cetus Protocol 遭到攻击,随着多个资金池的流动性被抽干,估计损失约 2.23 亿美元。根本原因是定点数 u256 数学运算中的一个错误溢出防护助手(checked_shlw()):一个不正确的阈值允许了不安全的 << 64 左移操作继续执行,从而静默截断了高位。通过精心选择流动性规模和紧密的刻度范围(tick ranges),攻击者让 Cetus 将所需的代币存款计算为约 1 个单位,同时将巨额流动性计入 LP 头寸,随后移除该膨胀的头寸以提取真实的储备资产。
选择理由
定点数助手中一个错误的比较就足以抽走 2.23 亿美元。攻击者没有操纵预言机或利用治理系统:整个攻击完全依赖于纯数学边界情况(移位 + 截断)来创建近乎免费的流动性,并确定
