Penggodaman kripto teratas 2025: insiden yang mendedahkan titik lemah industri

2025 merupakan tahun yang besar untuk industri kripto, tetapi ia datang sebagai pedang bermata dua apabila melihat gambaran yang lebih besar.

Di satu pihak, industri matang dari segi penggunaan institusi, dengan rekod bilangan penggabungan dan pengambilalihan.

Terdapat 267 tawaran berjumlah $8.6 bilion, menjadikannya tahun yang menguntungkan bagi mereka yang berada di sebelah kanan perdagangan.

Sebaliknya, kerugian daripada penggodaman dan eksploitasi mencecah rekod tertinggi, mendedahkan sejauh mana ruang masih perlu pergi di hadapan keselamatan.

Data daripada firma keselamatan seperti SlowMist dan CertiK melaporkan bahawa bilangan insiden keselamatan menurun sebanyak 50% tahun ke tahun, daripada lebih 400 pada 2024 kepada kira-kira 200 pada 2025. 

Tetapi tahap kerugian kewangan menceritakan kisah yang berbeza. Jumlah dana yang dicuri melonjak sebanyak 55% berbanding tahun sebelumnya, meningkat kepada lebih $3.4 bilion.

Walaupun kebersihan keselamatan asas, seperti audit kontrak pintar rutin dan pengesanan pepijat automatik, berjaya menghapuskan buah gantung rendah yang digunakan oleh penggodam amatur untuk menyasarkan, sifat serangan pada asasnya telah berubah.

Penyerang moden tidak lagi melemparkan jaring yang luas untuk kelemahan protokol kecil.

Sebaliknya, kumpulan profesional, terutamanya Kumpulan Lazarus Korea Utara , menghabiskan masa berbulan-bulan untuk peninjauan dan penyusupan infrastruktur untuk melaksanakan serangan tunggal bencana.

Industri kini menghadapi krisis kualiti berbanding kuantiti, di mana lebih sedikit serangan berlaku, tetapi serangan yang berlaku jauh lebih merosakkan.

Apabila 2026 bermula, berikut ialah melihat kembali empat insiden keselamatan terbesar pada tahun 2025, yang mendedahkan banyak kelemahan industri.

Pertukaran Bybit: $ 1.5 bilion

Insiden terbesar tahun ini berlaku di bursa kripto Bybit yang berpangkalan di Dubai, yang menjadi kecurian terbesar yang disahkan pernah dikaitkan dengan Kumpulan Lazarus yang disokong kerajaan Korea Utara.

Penyerang menghabiskan masa berbulan-bulan membina kepercayaan dengan pembangun di Safe{Wallet}, penyedia infrastruktur berbilang sig terkemuka, sebelum mereka berjaya memperkenalkan projek Docker berniat jahat yang secara senyap-senyap mewujudkan pintu belakang yang berterusan.

Sebaik sahaja masuk, penyerang menyuntik JavaScript berniat jahat ke dalam kod bahagian hadapan antara muka dompet Safe yang digunakan oleh pasukan tandatangan dalaman Bybit.

Apabila eksekutif Bybit log masuk untuk menandatangani apa yang kelihatan seperti transaksi dalaman rutin, antara muka pengguna memaparkan alamat dan jumlah dompet yang betul.

Walau bagaimanapun, pada peringkat kod, alamat destinasi telah ditukar secara senyap-senyap untuk dompet yang dikawal penyerang.

Kira-kira $1.46 bilion hingga $1.5 bilion dalam ETH telah disalirkan, memberi kesan kepada sebilangan besar pengguna yang terdedah kepada salah satu kegagalan keselamatan paling teruk yang pernah dilihat oleh industri.

Insiden itu mendedahkan titik lemah industri kritikal di sekitar kepercayaan UI, mengukuhkan bahawa dompet perkakasan dan ambang berbilang sig menawarkan sedikit perlindungan jika lapisan perisian yang membentangkan butiran transaksi telah terjejas.

Ikan paus Og Bitcoin: $330 juta

Pada bulan April, ikan paus Bitcoin era Satoshi yang telah memegang syiling mereka tanpa disentuh selama lebih sedekad menjadi mangsa serangan kejuruteraan sosial yang dahsyat yang mengakibatkan kehilangan 3,520 BTC, bernilai kira-kira $330.7 juta pada masa itu.

Kejadian itu terukir dalam sejarah sebagai kecurian individu terbesar dalam sejarah industri, seperti yang dibingkai oleh detektif dalam rantaian ZachXBT.

Tidak seperti serangan yang menyasarkan kod, yang ini menggunakan deepfake berkuasa AI dan pengklonan suara untuk memintas pertahanan psikologi mangsa dalam tempoh beberapa bulan.

Pelaku, yang disyaki sebagai sindiket terancang yang beroperasi di pusat panggilan canggih di Camden, UK, menggunakan alias seperti "Nina" dan "Mo", membina rasa selamat palsu dengan mangsa warga emas dengan menyamar sebagai penasihat undang-undang dan teknikal yang dipercayai.

Akhirnya, penyerang mengarahkan mangsa ke portal "pengesahan keselamatan" palsu yang meniru tapak sokongan rasmi penyedia dompet terkenal, di mana mangsa dimanipulasi untuk memasukkan kelayakan peribadi mereka atau menandatangani transaksi tertentu pada peranti perkakasan mereka dengan samaran "peningkatan akaun." Dana itu dipindahkan serta-merta.

Dana dengan cepat dicuci melalui "rantaian kupas" dan ditukar kepada syiling privasi Monero (XMR), menyebabkan lonjakan harga 50% dalam Monero disebabkan oleh permintaan yang mendadak dan besar.

Kejadian itu akhirnya mendedahkan kerentanan melampau individu bernilai tinggi yang tidak mempunyai perkhidmatan penjagaan gred institusi, menunjukkan bahawa tiada jumlah penyulitan boleh melindungi aset jika lapisan manusia dimanipulasi dengan berkesan.

Eksploitasi Protokol Cetus: $223 juta

Protokol Cetus, yang merupakan pertukaran terdesentralisasi terbesar di rangkaian Sui, telah dieksploitasi pada bulan Mei kerana kegagalan teknikal dalam logik kontrak pintarnya.

Pengeksploitasi mengenal pasti kecacatan aritmetik kritikal dalam perpustakaan matematik sumber terbuka yang dikongsi yang digunakan untuk pengiraan kecairan, yang membolehkan mereka mengalirkan kira-kira $223 juta dalam aset kecairan.

Khususnya, fungsi ini direka bentuk untuk menskalakan nombor titik tetap dengan selamat dengan mengalihkannya ke kiri sebanyak 64 bit.

Walau bagaimanapun, ia mengandungi ralat logik dalam pemeriksaan limpahannya. Perbandingan itu menggunakan topeng yang terlalu besar, yang membenarkan anjakan bitwise yang sepatutnya ditolak.

Dengan menggunakan pinjaman kilat untuk mencipta kedudukan pembekal kecairan dengan julat tick yang sangat sempit, penyerang mencetuskan limpahan aritmetik, lebih tepat lagi pemotongan bitwise, yang menyebabkan kontrak mengira deposit yang diperlukan hanya 1 unit token sambil masih mengkreditkan penyerang dengan kecairan yang besar.

Penyerang kemudian hanya mengeluarkan kecairan, menuntut rizab sebenar kumpulan berdasarkan perakaunan yang dinaikkan secara palsu.

Walaupun pengesah Sui berjaya menyelaraskan pembekuan kecemasan ke atas $162 juta aset sebelum ia boleh dirapatkan, kerugian bersih masih kekal sebagai salah satu yang terbesar pada 2025.

Ia membuktikan kepada ekosistem kewangan terdesentralisasi bahawa bahasa moden berorientasikan keselamatan seperti Move tidak sememangnya kebal daripada pepijat matematik, dan mengukuhkan bahawa ketegasan matematik kekal sebagai keperluan yang tidak boleh dirunding dalam reka bentuk protokol.

Pengimbang V2: $128 juta

Balancer mengalami eksploitasi kejuruteraan ekonomi yang canggih merentas berbilang rantaian (Ethereum, Arbitrum dan Base) pada bulan November, apabila penyerang berjaya mempersenjatai percanggahan kecil dalam cara protokol mengendalikan pembulatan ketepatan semasa pertukaran dalaman.

Kumpulan Stabil Boleh Komposisi Balancer menggunakan arah pembulatan yang berbeza untuk meningkatkan dan mengecilkan jumlah token untuk melindungi Invarian protokol, yang berfungsi sebagai sauh matematik untuk algoritma StableSwap, memastikan kumpulan mengekalkan jumlah nilai dan keseimbangan yang malar semasa pertukaran aset.

Penyerang mendapati bahawa dengan menolak baki kumpulan ke dalam julat 8 hingga 9 Wei tertentu, ia boleh menyebabkan bahagian integer jatuh sehingga 10% daripada nilai melalui ralat pembulatan ke bawah.

Selepas itu, menggunakan kontrak automatik, penyerang memulakan satu transaksi yang mengandungi lebih 65 pertukaran mikro.

Setiap swap berulang kali mencukur beberapa nilai Wei, mengkompaun kerugian ketepatan sehingga perakaunan dalaman kumpulan diputarbelitkan sepenuhnya.

Akibatnya, mereka dapat mengambil kesempatan daripada kehilangan ketepatan yang dikompaun sehingga perakaunan dalaman kumpulan diputarbelitkan sepenuhnya, selepas itu mereka boleh mencetak token LP pada harga yang ditindas dan menebusnya untuk nilai penuhnya serta-merta, mengekstrak berjuta-juta tanpa mencetuskan sebarang pemeriksaan keselamatan protokol.