零时科技每月安全事件看点开始了!据多家区块链安全监测平台统计,2025 年 8 月加密货币领域因黑客攻击、诈骗及漏洞利用造成的总损失约1.81 亿美元,其中重大安全事件达 21 起。本月损失规模重回高位,主要由交易所热钱包攻击主导 —— 土耳其交易所 BtcTurk 单起事件损失达 5400 万美元,占全月总损失的 33%。攻击类型中,基础设施安全漏洞(含交易所热钱包与 DeFi 平台漏洞)占比 58%(约 9450 万美元),钓鱼与 Rug Pull 等社会工程学攻击占比 42%。值得注意的是,黑客首次将跨链资产转移与混币服务(如 Tornado Cash)结合洗钱,资金追踪难度显著提升。
黑客攻击方面
典型安全事件 5 起
• CrediX Finance 权限滥用与跑路事件
损失金额:约 450 万美元。
事件详情:8月4日,DeFi 借贷协议 CrediX Finance 发生权限滥用与跑路事件。攻击者通过盗取管理员账户权限,篡改角色配置文件突破平台权限控制体系,盗取资金池中约 450 万美元资产。事件发生后,项目方不仅未履行 24 小时全额赔付的承诺,反而迅速关闭官方网站及所有社交媒体账号,彻底失联,形成典型的“攻击即退出”安全事件,暴露了小型 DeFi 平台在权限管理与运营责任上的双重缺失。
• ODIN FUN 流动性操纵攻击
损失金额:58.2 枚 BTC(约 700 万美元)。
事件详情:8月12日,比特币 meme 币平台 ODIN FUN 因自动化做市(AMM)模块漏洞被利用,攻击者通过添加代币拉高价格后恶意提款,2 小时内平台 BTC 储备从 291 枚骤减至 232.8 枚,团队国库无力全额赔付,且平台已暂停运营并启动安全审计。
• BtcTurk 交易所热钱包攻击
损失金额:约 4890 万美元。
事件详情:8月14日,土耳其第二大交易所 BtcTurk 遭遇热钱包攻击,因私钥泄露导致约 4890 万美元资产被盗。黑客在以太坊、Avalanche、Arbitrum 等 7 条链上实施跨链攻击,将资产转移至两个地址后通过 DEX 快速兑换为 ETH 洗钱。交易所紧急暂停加密货币充提服务,强调冷钱包资产未受影响且法币交易正常进行,但此次事件已是其一年内第二次发生同类热钱包安全事故,暴露了多链资产管理中私钥防护体系的持续缺陷。
• Equilibria 协议流动性池攻击
损失金额:约 320 万美元。
事件详情:8月18日,基于 Arbitrum 链的收益增强协议 Equilibria 遭遇流动性池攻击。攻击者利用平台第三方流动性聚合器的接口漏洞,通过伪造授权凭证非法提取 Camelot 交易所上的 EQB 流动性池资产,造成约 320 万美元损失。事件发生后,项目方确认核心合约未受影响,但因攻击涉及独立 EOA 地址,暂无法追踪被盗资金流向,目前已关闭涉事池并启动用户补偿方案评估。
• BetterBank 智能合约漏洞攻击
损失金额:约 500 万美元。
事件详情:8月27日,PulseChain 链上 DeFi 平台 BetterBank 因智能合约权限校验模块存在设计缺陷遭攻击。攻击者利用这一漏洞伪造质押凭证,绕过平台质押物审核机制无中生有提取资产,造成约 500 万美元损失。部分被盗资金已被兑换为 215 枚 ETH,通过跨链通道转移至以太坊混币池,凸显了新兴公链生态中智能合约形式化验证不足的风险。
Rug Pull / 钓鱼诈骗
典型安全事件 10 起
(1) 8月2日,0x6c0e 开头地址因 458 天前签署的网络钓鱼批准损失了 908,551 美元。
(2) 8月5日,升级到 EIP-7702 的地址因使用伪装成 Uniswap 交换的批量转账进行网络钓鱼而损失了 66,000 美元。
(3) 8月6日,0x2d98 开头地址因签署了一笔钓鱼交易,损失了 305 万美元。
(4) 8月10日,一名 Aave 用户(0x8f4d开头地址)在签署恶意“许可证”钓鱼签名后损失了价值 343,389 美元的 aEthWETH。
(5) 8月12日,0xD9Db 开头地址在签署恶意“approve”和“increaseAllowance”签名后损失了价值 16.5 万美元的 BLOCK 和 DOLO。
(6) 8月20日,一名大额投资者在确认未知交易请求时遭钓鱼攻击,向黑客地址转移 5500 万美元 DAI 稳定币。攻击者通过伪造 Maker 协议授权弹窗,诱骗用户签署资产转移合约,被盗资金迅速兑换为 ETH 并通过混币服务洗白,凸显 “零交互钓鱼” 手法对高净值用户的精准威胁。
(7) 8月20日,有人在伪装成 Uniswap 掉期交易的钓鱼批量交易后,损失了约 100 万美元的代币和 NFT。受害者为 0x1526 开头地址。
(8) 8月24日,0x9689 开头地址因签署 EIP-7702 网络钓鱼批量交易而损失了约 154 万美元。
(9) 8月25日,0x114D 开头地址因签署“许可证”钓鱼签名后损失了 97 stETH(465,802 美元)。
(10) 8月26日,0x4b47 开头地址因签署多个网络钓鱼签名后损失了价值 802,746 美元的 GM 和 aOptUSDCn 代币。
总结
2025 年 8 月加密货币领域 25 起安全事件致约 1.81 亿美元损失,安全形势 “集中爆发、手法升级”。其中土耳其 BtcTurk 交易所因私钥缺陷遭跨链攻击(损失 4890 万美元,占全月 33%),且为一年内第二次同类事故;BetterBank(500 万美元)、CrediX(450 万美元,后团队失联)暴露智能合约漏洞风险,ODIN FUN(700 万美元)则体现流动性操纵工具平民化趋势。
黑客洗钱链路升级,BtcTurk、BetterBank 事件中均用 “跨链 + 混币” 处理赃款,仅 17% 被盗资金可追踪;AI 钓鱼工具也成个人投资者新隐患。
针对 8 月暴露的风险,零时科技安全团队建议平台方立即实施热钱包 “多签机制 + 私钥轮换” 双保险,对智能合约开展 “权限最小化” 专项审计;用户需优先选择冷钱包存储大额资产,对要求无限授权的小型平台保持警惕。行业亟待建立跨链协同监测体系,以应对黑客利用多链生态割裂实施的新型攻击模式。
来源:金色财经