区块链安全公司Immunefi发布报告显示,加密黑客事件保持稳定节奏,而损失则更多集中在少数灾难性入侵事件中。该公司调查了2021年至2025年间425起公开披露的事件,发现该期间共计被盗金额达119亿美元。
袭击率并未下降。2024年有94起,2025年为97起,与往年记录的高水平持平。在这两年内,共有191起泄露事件导致了46.7亿美元的损失。
现在,针对目标项目的平均黑客事件损失约为2500万美元的盗用资金。然而,中位数损失已降至约220万美元,低于研究期早期的450万美元。中位数与平均值之间的差距反映了少数极端事件如何拉高整体数据。
仅2024年和2025年发生的五大漏洞事件就占两年内所有资金被盗的62%。前十名占总损失的73%。Bybit的一次单次泄露总额为15亿美元,占2025年所有损失的44%,占两年总损失的32%。
中心化交易所相较于被攻击的频率,遭受的损害不成比例。在191起交易所黑客事件中,有20起造成约25.5亿美元的损失,约占两年总损失的55%。Immunefi指出,这一模式反映了托管系统中存储的大量用户资金如何集中暴露于故障风险。
袭击后代币价格急剧下跌。报告追踪的82个被黑代币中,价格在泄露后六个月内中位数下跌了61%。大约83.9%的受影响代币在那六个月时的价格水平仍低于被黑前的水平。只有大约16%的被追踪代币能够在这些水平上恢复。报告指出,下降往往在六个月窗口后持续,而非趋于稳定。
Immunefi首席执行官米切尔·阿马多尔形容,财务后果远远超出最初的盗窃。“接下来往往更具破坏性:持续的代币价格压制、资金容量减少、领导层中断、开发时间流失以及用户信任的流失,”阿马多告诉Cointelegraph。由于许多项目将原生代币作为国库储备持有,价格下跌61%直接削减运营预算和人员配备能力。安全领导层通常在重大泄露事件发生后数周内就会切换。修复通常至少需要三个月的内部努力。
报告还探讨了故障如何在互联的DeFi系统中蔓延。2025年11月,Elixir的deUSD稳定币崩盘,原因是持有约65%deUSD抵押品的Stream Finance披露了一家外部基金经理的9300万美元亏损。Stream自家的稳定币xUSD下跌了77%。因此,deUSD的支持力下降;赎回被暂停,Curve pools的恐慌性抛售使deUSD从锚点下跌超过97%。
近期事件显示,该威胁在2026年3月依然活跃。谷歌研究人员披露了一套名为Coruna的工具包,针对苹果iPhone用户提取加密钱包助记词。基于比特币的DeFi平台Solv Protocol报告称,涉及不到10名用户的270万美元金库漏洞,并表示将承担这些损失。NFT借贷平台Gondi在攻击者耗取约23万美元NFT后,禁用了一份有缺陷的智能合约。
