2025 年，加密貨幣及區塊鏈網路將主要面臨哪些安全風險？

2026-01-19 04:10:50

區塊鏈

加密視野

加密貨幣行情

DeFi

Web3 錢包

文章評價 : 4

181 個評價

深入剖析 2025 年加密貨幣和區塊鏈網路所面臨的重大安全風險，包括智慧合約漏洞、OAuth 權杖失竊、供應鏈攻擊，以及中心化交易所託管風險對企業的影響。全面掌握核心防禦策略。

智能合約漏洞與區塊鏈網路歷史攻擊模式

自 2016 年指標性的 DAO 駭客事件後，智能合約漏洞便成為區塊鏈安全領域的核心議題。當時，重入攻擊透過遞迴呼叫函式，在餘額尚未更新前即轉移資金。這類攻擊至今持續造成影響，顯示程式碼執行邏輯上的缺陷仍威脅著去中心化網路。現今攻擊手法遠超重入問題，包含預言機操控，造成 DeFi 平台累積損失數十億美元。攻擊者有策略地針對價格預言機，透過人為操縱抵押品估值，引發連鎖清算，而閃電貸機制更進一步放大這項風險，使單一交易即可完成無抵押借貸。

2022 年 5 月，Drift Protocol事件充分展現了現代智能合約漏洞的特性。由於市場失衡時的收益與虧損核算設計存在缺陷，攻擊者得以提領所有用戶抵押品。即使 Trail of Bits 進行過安全稽核，協議的槓桿擴展機制仍未充分考量撮合順序造成的盈虧結算差異，暴露了架構層面的漏洞。存取控制薄弱及跨鏈橋機制失效更進一步加劇了風險，信任假設寫入程式碼反而造成單點故障。僅 Solana 網路 2020 至 2026 年間就發生 26 起應用層攻擊，重複出現的漏洞如驗證不足、狀態管理不良、清算保護不足，揭示了智能合約安全架構的系統性挑戰。

供應鏈攻擊與第三方整合風險：Salesloft Drift 事件影響 700 多家機構案例分析

第三方整合是數位生態系統中最容易被攻擊的安全環節，2025 年 8 月 Salesloft-Drift 事件波及全球超過 700 家機構，成為典型案例。攻擊者利用自 Drift-Salesforce 整合竊取的 OAuth 令牌與刷新令牌，繞過直接憑證與多因素驗證警示，取得未授權的 API 存取權限。這起供應鏈攻擊偽裝成合法 Drift 應用，成功避開傳統安全機制，竊取受影響 Salesforce 實體的資料。

本事件顯示，缺乏有效監控時，基於 OAuth 的整合會造成長期安全威脅。攻擊者取得包含聯絡人資訊、支援工單、AWS 金鑰、Snowflake 令牌，甚至明文儲存在客戶記錄中的密碼等敏感資料。外洩內容不只基本 CRM 資訊，還包括可能引發二次攻擊的認證憑證。對加密貨幣平台及區塊鏈網路而言，這暴露出仰賴第三方供應商和雲端整合卻安全管控不足的致命弱點。使用 SaaS 平台或整合交易基礎設施的機構同樣面臨風險，只要有第三方遭攻擊，客戶資料、API 憑證與交易紀錄都可能外洩，因此務必加強供應商審查並持續監控所有整合端點。

中心化交易所託管風險與 OAuth 令牌竊取：2025 年核心安全威脅

2025 年，加密貨幣產業出現前所未有的竊盜集中現象，中心化交易所漏洞成為主要攻擊入口。Kroll 網路威脅情報顯示，僅 2025 年上半年，加密犯罪造成損失高達 19.3 億美元，超越前一年總額，創下數位資產竊盜新高。這意味攻擊者策略已轉向高價值、中心化基礎設施的目標。

OAuth 令牌竊取已成為交易所託管環境中最具威脅性的攻擊方式。2025 年 8 月，威脅者入侵 Drift 與 Salesloft 整合，透過 OAuth 漏洞取得敏感託管系統及認證憑證的未授權存取權。基於令牌的攻擊能繞過傳統密碼防護，讓攻擊者偽裝成合法用戶，直接進入交易所錢包系統。這類攻擊的高度複雜性，進一步凸顯現代攻擊者如何利用整合服務間的信任關係突破防線。

2025 年 Bybit 遭受 15 億美元資產損失（疑為北韓國家支持駭客所為），正是中心化託管防線失效造成的極端後果。此事件約占全年服務類竊盜資金的 69%，突顯高度集中風險帶來的系統性脆弱。儘管交易所不斷加強零信任存取控管與即時監控，但託管模式的中心化本質讓對手風險更加集中，促使機構投資人在大額入金前更加重視合規監管與可驗證的安全保障。