BigONE交易所因供应链网络攻击损失2700万美元

加密货币交易所BigONE于2025年7月16日确认遭遇2700万美元安全漏洞，黑客通过复杂供应链攻击窃取了平台热钱包资金。

攻击手法解析

本次入侵与典型交易所攻击不同。攻击者并未直接窃取私钥或侵入钱包，而是针对BigONE生产网络基础设施下手。区块链安全公司慢雾调查发现，黑客入侵交易所生产网络后，篡改了负责账户管理和风控的服务器的操作逻辑。

安全机构Cyvers指出，攻击始于通过被入侵的CI/CD（持续集成/持续部署）管道或服务器管理渠道，向账户操作服务器部署恶意二进制文件。这使得攻击者无需获取交易所私钥即可禁用关键安全检查，授权非法提款。

攻击者实质上重编程了交易所内部系统，使其将非法提款请求识别为合法交易。这种操作手法使其绕过传统安全措施，跨多条区块链网络转移资金。

资产损失明细

链上追踪机构Lookonchain披露，黑客迅速将被盗资产兑换为120枚比特币（1415万美元）、2330万枚TRON（701万美元）、1272枚以太坊（400万美元）及2625枚Solana（42.8万美元）。

具体被盗资产包括：

• 120枚比特币(BTC)
• 350枚以太坊(ETH)
• 1800枚Solana(SOL)
• 跨链854万枚USDT
• 狗狗币、柴犬币、CELR等小额代币

黑客立即对赃款进行碎片化处理，通过跨链桥和去中心化交易所转移以增加追踪难度。安全公司已锁定涉案钱包在各大区块链的流转路径。

应急响应措施

BigONE迅速启动应急预案，在配合慢雾追踪资金的同时暂停充提业务。交易所承诺使用包含BTC、ETH、USDT、SOL和Mixin代币的内部安全储备金全额赔付。

对于其他受影响代币，BigONE表示将通过外部借贷筹措资金恢复用户余额。交易和充值服务在数小时内恢复，但提现功能需待安全升级完成后开放。平台强调用户资产不会因此事件永久损失。

争议事件发酵

区块链调查员ZachXBT指控BigONE长期处理"杀猪盘"诈骗资金，使事件陷入舆论漩涡。据其披露，某BigONE存款地址七个月内处理至少6000万美元涉诈资金，包括杀猪盘、情感诈骗和投资骗局。

ZachXBT表示"不同情平台团队"，并称黑客攻击前一周另有BigONE地址接收450万美元类似赃款。交易所回应称已冻结部分涉案资金并配合执法机构，但未具体说明办案单位，也未就指控细节作出解释。

加密安全危机加剧

TRM Labs数据显示，2025年上半年75起安全事件已造成21亿美元损失，超过2024全年18亿美元。Chainalysis报告指出2024年43.8%的盗币事件源于私钥泄露，但BigONE事件标志着攻击趋势正向更复杂的后端基础设施转移。

近期重大安全事件频发：2025年2月Bybit遭窃14.6亿美元，同年6月伊朗Nobitex交易所损失9000万美元。

平台背景信息

BigONE成立于2017年，注册于塞舌尔，支持265种加密资产和328个交易对。过去30天交易量达166亿美元，全球排名第25位。业务覆盖新加坡、香港、巴西、越南、日本和印尼等地，但相比币安、Coinbase等头部交易所保持较低调运营。

该事件凸显加密交易所在便捷性与安全性平衡中面临的挑战。尽管BigONE的快速响应和赔付承诺维护了用户信心，但全行业每年仍面临数十亿美元的黑客盗窃问题。