【安全月报】| 11 月加密货币攻击与诈骗损失合计超 1.724 亿美元

零时科技
发布于 14小时前
阅读 69

2025 年 11 月加密领域共发 53 起安全事件，损失 1.724 亿美元。钓鱼诈骗占比最高，黑客攻击与 Rug Pull 频发，含 Upbit 被盗、Port3 合约漏洞等事件，现技术诈骗与物理抢劫结合新趋势，跨链、合约漏洞及仿盘项目为主要风险点。

![登链封面(月报).jpg](https://img.learnblockchain.cn/attachments/2025/12/jXYAQ9VP692e8de96f355.jpg)

零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2025 年 11 月**加密货币领域因黑客攻击、诈骗及漏洞利用共造成约 1.724 亿美元损失**（其中约 4500 万美元已被冻结或追回，净损失约 1.27 亿美元），**共发生 53 起安全事件**，较 10 月（42 起）。

本月攻击类型分布中，钓鱼诈骗占比最高（48%，约 8275 万美元），攻击手法持续升级，出现 "技术 + 物理" 双重胁迫模式；其次是合约漏洞攻击（21%，约 3620 万美元）和跨链桥攻击（15%，约 2585 万美元）。朝鲜黑客组织 Lazarus Group 持续活跃，针对交易所和 DeFi 协议，单笔最高损失达 3680 万美元。

# **黑客攻击方面**

典型安全事件 ***4*** 起

**• Balancer协议攻击**

**损失金额：** 1.13 亿美元

**事件详情：** 11月4日，攻击者利用 Balancer 稳定池中舍入函数的漏洞，通过批量交换操作抽走资金。此次攻击造成约 1.13 亿美元的损失，是本月损失最严重的单一事件。

![1.png](https://img.learnblockchain.cn/attachments/2025/12/YnX0EWRt692e8e20c4d8e.png)

**• 印尼黑客借Markets.com漏洞盗币被捕**

**损失金额：** 39.8 万美元

**事件详情：** 11月21日，印尼黑客 HS 利用 Markets.com 存款系统后端验证缺失的漏洞，抓取他人身份证信息创建 4 个虚假账户，盗取 39.8 万美元加密货币。其在万隆被捕，当局查获含 420 万美元资产的冷钱包等物品，面临网络犯罪及反洗钱指控。

**• Port3 项目合约漏洞攻击**

**损失金额：** 530 万美元

**事件详情：** 11月23日，BSC 链上 Port3 项目因合约未设 owner 权限，攻击者利用 CATERC20 跨链方案边界验证漏洞，伪造跨链交易增发 10 亿枚代币并抛售，致价格暴跌 82%，损失约 530 万美元。

![2.png](https://img.learnblockchain.cn/attachments/2025/12/oaxcN3pR692e8e366ff72.png)

**• Upbit交易所黑客攻击**

**损失金额：** 1.76 万 USDC（约 1.76 万美元）

**事件详情：** 11月27日，韩国最大交易所 Upbit 热钱包遭袭，损失约 3680 万美元（445 亿韩元）SOL 生态代币（SOL、USDC、BONK 等），已冻结约 157 万美元资产，官方确认与朝鲜 Lazarus 组织有关。

# **Rug Pull / 钓鱼诈骗**

典型安全事件 ***9*** 起

(1)  11月5日，0x19a7 开头地址的受害者在签署恶意“许可”签名后，损失了价值 304,595 美元的 aBasUSDC。

(2)  11月7日，0x9f37 开头地址的受害者在签署了多次钓鱼“许可证”签名，损失了122万美元的 USDC 和 aPlaUSDT0 。

(3)  11月9日，0x71Ab 开头地址的受害者在签署了一笔钓鱼“批准”交易后损失了价值26.4万美元的 AIDaUSDT 。

(4)  **"MetaFlow" 假空投钓鱼**

**时间：** 11 月 9 日

**事件性质：** 诈骗者通过 Telegram 推送限时空投链接，诱导安装高仿钱包插件，窃取助记词及授权，波及超千名用户，损失约 230 万美元

(5) **"DeFiMax" 仿盘 Rug Pull**

**时间：** 11 月 12 日

**事件性质：** 匿名团队发行 DeFi 仿盘，吸引 280 万美元流动性后突然撤资，关闭官网，代币价格归零。

(6)  **冒充交易所客服钓鱼**

**时间：** 11 月 21 日

**事件性质：** 诈骗者伪造 OKX 等交易所客服，以 "账户冻结" 为由诱导用户进入钓鱼页面，骗取助记词，单起最高损失 50 ETH（约 14 万美元）。

(7)  11月24日，0xb97 开头地址的受害者在签署钓鱼“批准”交易后损失了价值 83.8 万美元的 PT-LPtUSDe 。

(8)  11月25日，0xc09E 开头地址的受害者在签署钓鱼“批准”交易后损失了价值 182,951 美元的 USDT。

(9)  11月26日，0x9ae4 开头地址的受害者因签署恶意“许可”签名而损失了价值 233,913 美元的 aEthWBTC。

# **总结**

11 月加密安全形势呈现三大特点：钓鱼诈骗产业化（占比 48%，损失 8275 万美元）、物理抢劫职业化（针对高净值用户的暴力抢劫激增）和朝鲜黑客精准化（Lazarus 组织专攻大型交易所）。安全事件数量（53 起）和损失金额（1.724 亿美元）均较上月显著上升，反映出加密资产安全风险仍处高位。

**针对当前安全形势，我们建议：**

1）项目方强化合约审计，特别是跨链桥和 DeFi 协议；

2）用户严格遵循 "三不原则"（不点陌生链接、不输助记词、不签不明交易）；

3）高净值用户考虑硬件钱包 + 多重签名 + 线下安保的 "三层防护" 策略。

下月需重点关注：**跨链协议安全、朝鲜黑客新动向及钓鱼攻击的技术升级**，零时科技安全团队将持续为您追踪链上安全态势，守护数字资产安全。

零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2025 年 11 月加密货币领域因黑客攻击、诈骗及漏洞利用共造成约 1.724 亿美元损失（其中约 4500 万美元已被冻结或追回，净损失约 1.27 亿美元），共发生 53 起安全事件，较 10 月（42 起）。

黑客攻击方面

典型安全事件 4 起

• Balancer协议攻击

损失金额： 1.13 亿美元

事件详情： 11月4日，攻击者利用 Balancer 稳定池中舍入函数的漏洞，通过批量交换操作抽走资金。此次攻击造成约 1.13 亿美元的损失，是本月损失最严重的单一事件。

• 印尼黑客借Markets.com漏洞盗币被捕

损失金额： 39.8 万美元

事件详情： 11月21日，印尼黑客 HS 利用 Markets.com 存款系统后端验证缺失的漏洞，抓取他人身份证信息创建 4 个虚假账户，盗取 39.8 万美元加密货币。其在万隆被捕，当局查获含 420 万美元资产的冷钱包等物品，面临网络犯罪及反洗钱指控。

• Port3 项目合约漏洞攻击

损失金额： 530 万美元

事件详情： 11月23日，BSC 链上 Port3 项目因合约未设 owner 权限，攻击者利用 CATERC20 跨链方案边界验证漏洞，伪造跨链交易增发 10 亿枚代币并抛售，致价格暴跌 82%，损失约 530 万美元。

• Upbit交易所黑客攻击

损失金额： 1.76 万 USDC（约 1.76 万美元）

事件详情： 11月27日，韩国最大交易所 Upbit 热钱包遭袭，损失约 3680 万美元（445 亿韩元）SOL 生态代币（SOL、USDC、BONK 等），已冻结约 157 万美元资产，官方确认与朝鲜 Lazarus 组织有关。

Rug Pull / 钓鱼诈骗

典型安全事件 9 起

(1) 11月5日，0x19a7 开头地址的受害者在签署恶意“许可”签名后，损失了价值 304,595 美元的 aBasUSDC。

(2) 11月7日，0x9f37 开头地址的受害者在签署了多次钓鱼“许可证”签名，损失了122万美元的 USDC 和 aPlaUSDT0 。

(3) 11月9日，0x71Ab 开头地址的受害者在签署了一笔钓鱼“批准”交易后损失了价值26.4万美元的 AIDaUSDT 。

(4) "MetaFlow" 假空投钓鱼

时间： 11 月 9 日

事件性质： 诈骗者通过 Telegram 推送限时空投链接，诱导安装高仿钱包插件，窃取助记词及授权，波及超千名用户，损失约 230 万美元

(5) "DeFiMax" 仿盘 Rug Pull

时间： 11 月 12 日

事件性质： 匿名团队发行 DeFi 仿盘，吸引 280 万美元流动性后突然撤资，关闭官网，代币价格归零。

(6) 冒充交易所客服钓鱼

时间： 11 月 21 日

事件性质： 诈骗者伪造 OKX 等交易所客服，以 "账户冻结" 为由诱导用户进入钓鱼页面，骗取助记词，单起最高损失 50 ETH（约 14 万美元）。

(7) 11月24日，0xb97 开头地址的受害者在签署钓鱼“批准”交易后损失了价值 83.8 万美元的 PT-LPtUSDe 。

(8) 11月25日，0xc09E 开头地址的受害者在签署钓鱼“批准”交易后损失了价值 182,951 美元的 USDT。

(9) 11月26日，0x9ae4 开头地址的受害者因签署恶意“许可”签名而损失了价值 233,913 美元的 aEthWBTC。

总结

针对当前安全形势，我们建议：

1）项目方强化合约审计，特别是跨链桥和 DeFi 协议；

2）用户严格遵循 "三不原则"（不点陌生链接、不输助记词、不签不明交易）；

3）高净值用户考虑硬件钱包 + 多重签名 + 线下安保的 "三层防护" 策略。

下月需重点关注：跨链协议安全、朝鲜黑客新动向及钓鱼攻击的技术升级，零时科技安全团队将持续为您追踪链上安全态势，守护数字资产安全。

原创
学分: 2
分类: 安全
标签:

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

【安全月报】| 11 月加密货币攻击与诈骗损失合计超 1.724 亿美元

黑客攻击方面

Rug Pull / 钓鱼诈骗

总结

0 条评论

文章目录