驚魂 28 小時：SFUND 跨鏈橋遭朝鮮駭客血洗、CZ 出手凍結資金、Web3 安全警鐘再鳴

2025 年 9 月 23 日，Web3 圈的平靜被一場突如其來的駭客攻擊擊碎。深耕行業 3 年、經兩大機構審計的 Seedify SFUND 跨鏈橋，竟在數小時內被駭客攻破，超 3 千兆代幣被惡意鑄造，價格近乎歸零。從攻擊爆發到 CZ 緊急響應，這場牽涉 6.4 萬持有者、損失千萬美元的安全事件，不僅暴露了跨鏈生態的致命漏洞，更揭開了國家支持駭客團伙覬覦加密資產的冰山一角。

一、28 小時驚魂時間線：從 「安全老兵」 到瞬間崩盤

SFUND 跨鏈橋基於 LayerZero 的 OFT 合約搭建，此前已通過 CertiK 和 Hacken 兩大機構審計，穩定運行 3 年，堪稱行業內的 「安全老兵」。但這場攻擊的迅猛與精準，讓所有防線瞬間崩塌。

二、攻擊解剖：密鑰漏洞撕開的 「財富大口」

這場攻擊並非複雜的代碼破解，而是精準命中了跨鏈橋最核心的 「命門」—— 密鑰安全。根據PeckShield 和 ZachXBT 的鏈上溯源分析，攻擊路徑清晰且致命：

1. 攻擊向量：「unlock 機制」 成突破口

駭客並未採用新型技術漏洞，而是通過社會工程學攻擊或密鑰泄露，獲取了橋合約的核心私鑰，直接調用 「unlock」 解鎖功能修改參數。這意味著駭客獲得了合約的 「超級權限」，可以繞過鑄造限制，隨心所欲地生成代幣。

2. 資金分流：多鏈洗錢的 「教科書操作」

為規避追蹤，駭客採用 「多鏈拆分」 策略快速轉移贓款：

• Base 鏈：將鑄造的代幣兌換為 141 ETH，迅速轉移至匿名錢包；

• BSC 鏈：核心贓款 $120 萬兌換為 BNB，部分流向 HTX 交易所（最終被凍結）；

• Polygon、Arbitrum：小額分散轉移，混淆資金軌跡。

目前經多方核實，事件總損失約 120-170 萬美元，此前網傳的 「880 萬美元損失」 並無鏈上數據支撐。

三、矛頭直指朝鮮：國家支持駭客的 「加密圍獵」

CZ 在回應中提及的 「DPRK 操作」，並非空穴來風。鏈上證據和行業追蹤顯示，這是朝鮮駭客團伙對加密資產的又一次精準突襲。

1. 團伙鎖定：「Contagious Interview」 浮出水面

ZachXBT與SpecterAnalyst 的聯合分析指出，駭客資金鍊路與以太坊上的 「Serenity Shield 駭客錢包」 高度關聯，該錢包已被聯合國報告列為朝鮮核武計劃的資金來源之一。與大名鼎鼎的Lazarus Group 不同，此次作案的 「Contagious Interview」 是朝鮮駭客的新興分支，更擅長針對跨鏈橋和 DeFi 協議的漏洞攻擊，2025 年已參與 THORChain 洗錢等多起事件。

2. 攻擊動機：加密盜竊成 「資金輸血」 主渠道

Chainalysis數據顯示，2025 年朝鮮駭客已通過加密攻擊竊取超 30 億美元，其中跨鏈橋攻擊占比高達 20%。這類攻擊因涉及多鏈流動性、技術架構複雜，成為駭客眼中的 「肥肉」，而贓款最終多被用於資助其核計劃與彈道導彈研發，形成 「攻擊 - 洗錢 - 研發」 的黑色閉環。

四、市場餘震與行業警示：橋接安全何時能 「不塌」？

儘管 HTX 凍結了 15% 的贓款，SFUND價格也從$0.05反彈至$0.18（24 小時仍跌 42%），但這場事件留下的衝擊遠未消散。

1. Seedify 的 「信任重建戰」

作為專注遊戲與 NFT 孵化的 Web3 孵化器，Seedify的聲譽遭受重創，SFUND 市值較月初縮水 50% 至 1588 萬美元。目前團隊已承諾補償流動性池用戶，但 6.4 萬受損持有者的信任修復仍需時間。不過其核心的 「9 階質押獲早期項目訪問權」 的Launchpad 模式，仍憑藉長期積累的資源保留了部分用戶粘性。

2. 跨鏈橋：加密世界的 「永久軟肋」

2025 年全球已發生超 10 起跨鏈橋安全事件，此次 SFUND 事件再次暴露行業痛點：

• 審計並非 「免死金牌」：即便是頭部機構審計的合約，也可能因密鑰管理等 「人為漏洞」 崩盤；

• 技術架構存先天風險：跨鏈橋需對接多條公鏈，技術複雜度高，且多依賴 「預言機 + 中繼器」 的信任機制，任一環節失守都可能引發連鎖反應；

• 追回難度堪比登天：除通過 CEX 凍結少量流入交易所的資金外，鏈上匿名錢包中的剩餘約 100 萬美元贓款，幾乎沒有追回可能，除非依賴國際執法協作。

對此，PeckShield 緊急建議暫停所有 SFUND 相關橋接服務，行業專家則呼籲 LayerZero 等跨鏈協議加速升級多簽機制與時間鎖功能，從技術底層降低單點故障風險。

結語：駭客與防線的 「持久戰」

從 CZ 的跨界馳援到鏈上偵探的追根溯源，SFUND 事件展現了加密行業在危機中的協作力量，但也讓 「國家支持駭客威脅」 與 「橋接安全漏洞」 兩大難題擺上桌面。對於普通用戶而言，「不碰新橋、少用複雜跨鏈服務」 仍是自保的核心法則；對於行業而言，這場攻擊不是終點 —— 加密世界的 「攻防戰」，才剛剛進入更殘酷的階段。

免責聲明:本文所述內容僅供參考，不構成任何投資建議。投資者應根據自身風險承受能力和投資目標，理性看待加密貨幣投資，切勿盲目跟風。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。