交易所被黑历史哪家最严重?10年事件梳理
梳理2014-2026年加密货币行业重大被黑事件,按损失金额、赔付情况、后续影响排序,给用户判断交易所安全性的参考。
加密货币交易所历史上经历过数十次重大被黑事件,累计损失超过 200 亿美元。本文按时间和损失金额梳理 10 年来主要事件。先给结论:史上最大单次盗窃是 2025 年 2 月 Bybit 被黑(14.6 亿美元);最严重的暴雷事件是 2014 年 Mt.Gox(85 万 BTC,当时 4.5 亿美元,按 2026 年价格价值 700+ 亿美元);赔付最透明的事件是 2019 年币安被黑(SAFU 全额赔付)。日常账户主备双选可从 币安官网 入口注册主账户,安卓装 币安官方APP,苹果用户切换海外 Apple ID 参考 iOS安装教程 装币安主 APP。
一、史上最大被黑事件 TOP 10(2014-2026)
按当时损失金额排序:
| 排名 | 事件 | 时间 | 损失金额(当时) | 损失金额(2026 价值) | 赔付情况 |
|---|---|---|---|---|---|
| 1 | Bybit 以太坊冷钱包被黑 | 2025-02-21 | 14.6 亿美元(40 万 ETH) | 14.6 亿美元 | 24h 内全额赔付 |
| 2 | Mt.Gox | 2014-02 | 4.5 亿美元(85 万 BTC) | 700+ 亿美元 | 部分赔付(2025 年仍在执行) |
| 3 | Coincheck(日本) | 2018-01-26 | 5.3 亿美元(5 亿 NEM) | 6.8 亿美元 | 100% 赔付 |
| 4 | KuCoin 热钱包被黑 | 2020-09-26 | 2.85 亿美元 | 2.85 亿美元 | 84% 追回 + 16% 平台赔付 |
| 5 | Bitfinex | 2016-08-02 | 7200 万美元(12 万 BTC) | 89 亿美元 | 部分追回 + LEO 代币赔付 |
| 6 | Poly Network | 2021-08-10 | 6.1 亿美元(含跨链) | 6.1 亿美元 | 黑客主动归还 99% |
| 7 | FTX 暴雷(非被黑但巨额损失) | 2022-11 | 80-100 亿美元(用户资金挪用) | 80-100 亿美元 | 部分追回(破产程序中) |
| 8 | Ronin Network 跨链桥被黑 | 2022-03-23 | 6.25 亿美元 | 6.25 亿美元 | Sky Mavis 自筹赔付 |
| 9 | Wormhole 跨链桥被黑 | 2022-02-02 | 3.2 亿美元 | 3.2 亿美元 | Jump Crypto 注资全额赔付 |
| 10 | Bitstamp(欧洲) | 2015-01-04 | 510 万美元(19000 BTC) | 17.5 亿美元 | 100% 自有资金赔付 |
Q:2025 年 Bybit 被黑为什么是史上最大?
2025 年 2 月 21 日朝鲜 Lazarus Group 黑客组织通过攻击 Bybit 多签托管服务(Safe{Wallet})的前端,在 Bybit CEO Ben Zhou 签名转账时,恶意脚本篡改了交易目的地址。结果是 14.6 亿美元 ETH(约 40 万 ETH)被转移到黑客地址。
事件发生后 Bybit 24 小时内宣布"用自有资金 + 第三方紧急借款"全额赔付用户,未触发挤兑。后续 Bybit 与 Cobo Custody、Fireblocks 联合升级多签流程,加入"前端 + 后端 + 硬件" 3 层验证。
二、Mt.Gox:行业最深的伤疤
Mt.Gox(Magic: The Gathering Online Exchange)是 2014 年加密货币交易所最惨烈的暴雷事件:
- 背景:2010-2013 年 Mt.Gox 是全球最大比特币交易所,巅峰时占全球 BTC 交易量 70%
- 事件:2014 年 2 月,Mt.Gox 突然暂停提现,2 月 28 日在日本申请破产保护
- 损失:约 85 万 BTC(包括用户和平台资产,当时价值 4.5 亿美元)
- 真相:被黑事件实际从 2011 年开始持续多年,CEO Mark Karpelès 长期未察觉
- 2014-2025 年:日本破产管理人 Nobuaki Kobayashi 主持的赔付计划耗时 10 年
- 2024 年 7 月:开始向用户分配剩余 BTC 和 BCH(约 14.2 万 BTC,当时价值 90 亿美元)
- 2025 年 4 月:赔付仍在执行中,少部分用户尚未领到
Mt.Gox 事件对加密行业的影响巨大:
- 推动了储备金证明(PoR)的普及
- 推动了"自我托管"理念(Not your keys, not your coins)
- 间接催生了硬件钱包行业(Ledger、Trezor 等)
- 推动各国监管设立加密货币法规
Q:Mt.Gox 用户最终拿回多少钱?
Mt.Gox 用户按破产协议拿回约 85% 的 BTC 数量(注意是数量,不是当时美元价值)。换言之,2014 年丢了 1 个 BTC(当时 530 美元),2024-2025 年拿回 0.85 个 BTC(按 2025 年价格约 8 万美元/BTC,价值 6.8 万美元)。用户因长期等待反而获得了 BTC 价格上涨的"被动收益"——这是非常意外的结果。
三、KuCoin 2020 年事件:行业赔付典范
2020 年 9 月 26 日 KuCoin 热钱包被黑,损失约 2.85 亿美元。事件处理方式被行业誉为"赔付典范":
- 2020-09-26:被黑事件发生,KuCoin 立即关停提现 + 公告
- 2020-09-30:CEO Johnny Lyu 公开链上地址追踪被盗资金
- 2020-10-08:KuCoin 与 60+ 项目方合作冻结被盗代币
- 2021-03-26:6 个月内追回 84% 资产,剩余 16%(约 4500 万美元)由 KuCoin 保险基金 + 平台收入赔付
- 2021 年下半年:KuCoin 升级冷热分离架构 + 多签托管
- 2022-2026 年:未再发生同级别事件
KuCoin 事件之所以是"赔付典范",关键在于:
- 24 小时内透明披露(不像 Mt.Gox 隐瞒多年)
- CEO 主动公开链上地址(业内罕见)
- 与项目方冻结代币的合作模式(成为后续行业标准)
- 84% 追回比例(当时行业最高)
- 剩余 16% 用平台资金赔付(未让用户承担)
Q:KuCoin 事件后还能信任 KuCoin 吗?
KuCoin 的事件处理方式获得了行业认可,事件后 6 年来未再被黑。但 KuCoin 整体安全等级仍不及币安/欧易/Coinbase/Kraken:
- 资产规模较小(保险基金不及币安 SAFU)
- 冷钱包比例略低(90% 左右)
- 2024 年因 KYC 不充分被美国 CFTC 罚款 2200 万美元
KuCoin 适合作为小币种交易副账号,不适合长期大额持仓。
四、币安 2019 年被黑:SAFU 救场
2019 年 5 月 7 日币安(Binance)热钱包被黑,损失约 7000 BTC(当时价值约 4000 万美元)。事件细节:
- 2019-05-07 17:15 UTC:黑客通过钓鱼 + API 利用,单笔转账 7000 BTC
- 2019-05-07 18:30 UTC:CZ 在推特公开承认事件
- 2019-05-08:币安宣布用 SAFU(Secure Asset Fund for Users)基金 100% 赔付用户
- 2019-05-14:币安恢复提现
- 后续:币安升级冷热分离 + 多签 + 异常交易监控
SAFU 基金是币安 2018 年 7 月设立的"用户安全资产基金",从平台 10% 现货手续费收入划拨。事件发生时 SAFU 余额约 5.5 亿美元,覆盖 7000 BTC 损失(约 4000 万美元)绰绰有余。
2026 年 4 月 SAFU 基金规模已达 10 亿美元(公开链上地址可查),成为加密行业最知名的"用户保险基金"。
Q:SAFU 基金真的能赔付所有损失吗?
SAFU 基金 10 亿美元理论上可覆盖币安单次被黑的中等损失(10 亿美元以下)。但SAFU 不是法律上的赔付义务,而是币安的"自愿承诺"。如果发生超大规模事件(如 50 亿美元 +),SAFU 不足时币安可能选择部分赔付或代币赔付。
最稳妥的策略:长期资产分散到 2-3 家持牌交易所 + 硬件钱包冷储,不依赖任何单一平台的"自愿赔付承诺"。
五、跨链桥被黑:DeFi 新型攻击面
2022 年是跨链桥被黑高发期:
| 事件 | 时间 | 损失 | 攻击向量 |
|---|---|---|---|
| Wormhole | 2022-02-02 | 3.2 亿美元 | 智能合约签名验证漏洞 |
| Ronin Network | 2022-03-23 | 6.25 亿美元 | 多签私钥被钓鱼 |
| Harmony Horizon | 2022-06-23 | 1 亿美元 | 多签私钥被攻击 |
| Nomad | 2022-08-01 | 1.9 亿美元 | 智能合约逻辑漏洞 |
| BNB Chain Bridge | 2022-10-06 | 5.7 亿美元(追回大部分) | 跨链消息证明伪造 |
跨链桥(Cross-chain Bridge)是连接两条区块链的智能合约系统,攻击面广(智能合约 + 多签 + 跨链消息)。2022 年跨链桥总被黑损失超 20 亿美元,是当年 DeFi 最大风险来源。
2023-2026 年跨链桥安全升级:引入零知识证明跨链(zkBridge)、轻客户端验证、多签 + 硬件签名分离。重大事件大幅减少。
Q:现在用跨链桥还安全吗?
2026 年 4 月主流跨链桥(如 LayerZero、Wormhole 升级版、Connext、Across)安全等级显著提升。但仍建议:
- 单笔跨链 < 5 万美元(小额分散风险)
- 优先用主流桥(避免新桥)
- 使用多次跨链试探(先小额验证)
- 避免跨链长尾资产(流动性不足时被迫高滑点兑换)
六、FTX 暴雷:不是被黑而是挪用
2022 年 11 月 FTX 暴雷是加密历史最严重事件之一,但FTX 不是被黑:
- 2022-11-02:CoinDesk 报道 FTX 关联实体 Alameda Research 资产负债表异常
- 2022-11-08:用户挤兑提现,FTX 提现暂停
- 2022-11-11:FTX 申请破产保护(美国 Chapter 11)
- 真相:FTX 创始人 SBF 长期挪用 80-100 亿美元用户资金给 Alameda Research 做高风险交易
- 2023-11-02:SBF 被美国法院判 7 项重罪成立
- 2024-03-28:判处 25 年监禁
- 2024-2025 年:FTX 破产管理人逐步赔付用户(按"破产时美元价值"赔付,用户损失 BTC 涨幅)
FTX 事件揭示了交易所不透明运营 + 用户资金挪用的最大风险。事件后行业推动"储备金证明 PoR"成为标配(币安、欧易、Bybit 等都开始定期公布 PoR)。
Q:怎么判断交易所有没有挪用用户资金?
判断交易所资金安全性的核心指标:
- PoR 储备金证明(每月公布,覆盖 BTC/ETH/USDT 等主要币种)
- 冷热钱包公开地址(链上可查)
- 第三方审计报告(Mazars、Armanino LLP 等)
- 零知识证明 zk-PoR(更先进,欧易已采用)
- 储备金 ≥ 100% 用户资产(FTX 当时是 50%-80%)
币安(Binance)、欧易(OKX)、Bybit、Coinbase、Kraken 的 PoR 都公开可查,透明度大幅高于 2022 年的 FTX。
七、其他重大暴雷(非被黑)
除了被黑,交易所"自爆"也是重大风险:
| 事件 | 时间 | 损失 | 性质 |
|---|---|---|---|
| QuadrigaCX(加拿大) | 2019-01 | 1.9 亿美元 | CEO 死亡 + 私钥丢失(疑似挪用) |
| Cryptopia(新西兰) | 2019-01 | 2300 万美元 | 被黑 + 破产 |
| Celsius Network | 2022-07 | 47 亿美元 | 借贷平台暴雷(DeFi 杠杆爆仓) |
| Voyager Digital | 2022-07 | 13 亿美元 | 借贷平台暴雷 |
| BlockFi | 2022-11 | 3.55 亿美元 | 借贷平台暴雷(FTX 暴雷牵连) |
| Genesis | 2023-01 | 33 亿美元 | DCG 集团关联 + 借贷暴雷 |
2022-2023 年的"加密信贷危机"是行业系统性暴雷期。Celsius、Voyager、BlockFi、Genesis 都是借贷平台,承诺高利率但实际把用户资金借给高风险机构(如 Three Arrows Capital)。
Q:高利率理财平台靠不靠谱?
承诺年化 > 10% 稳定收益的平台都需要警惕:
- Celsius(已倒闭):曾承诺 17% 年化
- BlockFi(已倒闭):曾承诺 8.6% 年化
- Anchor Protocol(已崩盘):曾承诺 19.5% 年化(Terra/Luna 生态)
USDC/USDT 可持续的稳定收益约 4-6%(来自美国国债收益)。任何**超过 10%**的稳定币年化都需要怀疑其底层风险来源。
八、安全事件梳理:哪家交易所最稳?
按 2026 年 4 月数据,"零事故记录"梳理:
| 交易所 | 成立年份 | 重大被黑事件 | 用户资金损失 |
|---|---|---|---|
| Kraken | 2011 | 0 次 | 0 |
| Coinbase | 2012 | 0 次(核心钱包) | 0 |
| Bitstamp | 2011 | 1 次(2015,已 100% 赔付) | 0(赔付后) |
| 币安(Binance) | 2017 | 1 次(2019,SAFU 全额赔付) | 0(赔付后) |
| 欧易(OKX) | 2017 | 0 次 | 0 |
| Bybit | 2018 | 1 次(2025,已 100% 赔付) | 0(赔付后) |
| KuCoin | 2017 | 1 次(2020,84% 追回 + 平台补 16%) | 0(赔付后) |
| Mt.Gox | 2010 | 已倒闭 | 用户拿回 85% 数量(2024-2025 赔付) |
| FTX | 2019 | 已倒闭 | 部分赔付(按破产时美元价值) |
最长零事故记录:Kraken(14 年)和 Coinbase(13 年)。这两家是行业公认"最安全"的交易所。
Q:选交易所时安全权重应该多大?
资产规模决定安全权重:
- < 1 万美元:方便性 > 安全(用币安/欧易等中文化好的平台)
- 1-10 万美元:方便性 ≈ 安全(用币安 + 欧易分散)
- 10-100 万美元:安全 > 方便性(增加 Coinbase/Kraken 仓位)
- 100 万美元+:必须分散到 2-3 家 + 硬件钱包冷储
九、常见 FAQ
Q:硬件钱包真的比交易所安全吗?
硬件钱包(如 Ledger、Trezor)安全性远高于交易所:私钥永远不离开设备,即使电脑被黑也安全。但硬件钱包有助记词丢失风险——如果助记词被盗或丢失,资产 100% 损失,无人赔付。
适合长期持有 + 不频繁交易的资产用硬件钱包。日常交易资产仍需放交易所。
Q:交易所是不是越大越安全?
整体相关。但不绝对:
- 大交易所:储备金充足、SAFU 基金大、安全投入多 → 整体安全
- 但:FTX 当年也是"行业第二大",仍然暴雷
- 小交易所:技术资源有限,更容易被黑
最稳妥:选合规牌照齐全 + 历史无重大事件 + PoR 透明的大交易所。
Q:交易所储备金证明 PoR 真能信吗?
PoR 是"快照"证明,不是实时证明。理论上交易所可能在快照前临时调入资金"美化报表"。但与 FTX 的"完全不公开"相比,PoR 已是行业进步。
最好的 PoR 是"零知识 + 链上可验证"(欧易 OKX 采用),普通 Merkle Tree(币安)次之。
Q:被黑事件后多久会知道?
被黑事件通常6-24 小时内会被链上分析师(如 PeckShield、SlowMist)发现并发推。如果交易所突然停止提现 + 推特异常活跃,应立即提币避免风险。
Q:如果交易所暴雷,我能拿回钱吗?
取决于:
- 交易所有没有储备金/保险 → 币安 SAFU、Coinbase 保险等
- 是被黑还是挪用 → 被黑通常赔付,挪用走破产程序
- 是否合规牌照 → 持牌交易所有破产清算保护
- 资产链上可查性 → BTC/ETH 等可追踪,部分小币种可能完全损失
长期分散 + 硬件钱包是唯一可靠的对冲。
Q:朝鲜黑客组织 Lazarus 是什么?
Lazarus Group 是朝鲜国家支持的黑客组织,2017 年起多次攻击加密货币行业。已知行动:
- 2018 年 Coincheck(5.3 亿美元)
- 2022 年 Ronin Network(6.25 亿美元)
- 2022 年 Harmony Horizon(1 亿美元)
- 2025 年 Bybit(14.6 亿美元)
Lazarus 累计盗取超 30 亿美元加密货币资产,是行业最大单一威胁源。Bybit 事件后行业开始强制冷钱包多签 + 硬件签名分离对抗 Lazarus。
Q:交易所的"Bug Bounty"漏洞赏金计划值得参与吗?
值得。币安、欧易、Coinbase 都设立了 Bug Bounty 计划,发现严重漏洞最高赏金 10 万-100 万美元。
但严肃白帽黑客才适合参与,普通用户不要轻易尝试"挖漏洞",操作不当可能涉及法律风险。
数据来源
- 各交易所被黑事件官方公告
- 区块链分析公司报告(PeckShield、SlowMist、Elliptic、TRM Labs、Chainalysis)
- 美国司法部 / FBI / 财政部 OFAC 公开制裁信息
- Mt.Gox 破产管理人 Nobuaki Kobayashi 季度报告
- FTX 破产案 Chapter 11 公开文件
风险提示:本文为独立第三方梳理,不构成投资建议。所有数据为 2026 年 4 月。加密货币交易和持仓存在高度风险,分散资产 + 硬件钱包冷储是最重要的安全策略。