撰文:Beosin、Footprint Analytics
1、2025年上半年 Web3区块链安全态势综述
据 Beosin Alert 监控及预警显示,2025 年上半年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失约 21.38 亿美元。其中主要攻击事件 90 起,总损失金额约 20.93 亿美元;RugPull总损失金额约 320 万美元;钓鱼诈骗总损失金额约 4138 万美元。
从被攻击项目类型来看,交易所成为损失金额最高的项目类型。6 次针对交易所平台的攻击共造成了超过 15.91 亿美元的损失,占所有攻击损失金额的 74.4%。
从各链损失金额来看,Ethereum依旧为损失金额最高、攻击事件最多的链。81 次 Ethereum 上的攻击事件造成了 17.39 亿美元的损失,占到了总损失的 81.3%。Sui 因为 CetusProtocol 事件损失约 2.24 亿美元,位列第二。
从攻击手法来看,上半年利用合约漏洞进行攻击的事件最为频繁,共发生63 次,造成损失达到了 4.08 亿美元。Bybit 因钱包基础设施缺陷被盗 14.4 亿美元,占到了总攻击损失金额的67.4%,是损失金额占比最高的攻击类型。
从资金流向来看,上半年仅有少部分(约2.38亿美元)被盗资金被冻结或追回,约71.2%的被盗资金仍在链上钱包中流转,未流入交易所或混币器。
2、2025年上半年攻击事件总览
90 起主要攻击事件共造成损失20.93亿美元
2025 年上半年,Beosin Alert 共监测到 Web3 领域主要攻击事件 90 起,总损失金额达 20.93亿美元。其中损失金额超过 1 亿美元的安全事件共 2 起,损失在 1000 万美元 - 1 亿美元区间的事件共 7 起,100 万美元 - 1000 万美元区间的事件 18 起。
损失金额超过千万美元的攻击事件(按金额排序):
- Bybit- 14.4 亿美元
攻击方式:Safe钱包前端被篡改 链平台:Ethereum
2 月 21 日,加密货币交易所 Bybit 遭遇攻击,其 Safe 多签钱包约 14.4 亿美元资金被盗。黑客通过入侵 Safe 的服务器植入了恶意代码,替换了正常的交易请求,导致签名者在不知情的情况下签署了被篡改的交易。
- Cetus Protocol - 2.24 亿美元
攻击方式:合约漏洞 链平台:Sui
5 月 22 日,Sui 生态上的DEXCetus Protocol被攻击,其漏洞源于对开源库代码中左移运算的实现错误。随后在 Sui基金会及其它生态项目合作下,已成功冻结了在 Sui上的 1.62 亿美元的被盗资金。
- Nobitex - 9000 万美元
攻击方式:暂未明确 链平台:多链
6月18日,伊朗最大加密交易所Nobitex发布公告称遭遇黑客攻击,损失超9000万美元,涉及BTC、ETH、Doge、XRP、SOL、TRX和TON等多种加密货币。一个名为「Gonjeshke Darande」的亲以色列组织已宣布对此次攻击负责,并将此次袭击定性为针对伊朗加密基础设施的打击。
- Phemex - 7000 万美元
攻击方式:私钥泄露 链平台:多链
1 月23 日,总部位于新加坡的加密货币交易所 Phemex 热钱包中约7000 万美元的加密资产被盗,涉及ETH、SOL、BTC、BNB、USDT等多种加密资产。
- UPCX - 7000 万美元
攻击方式:访问控制漏洞 链平台:Ethereum
4月1日,UPCX由于未经授权的访问损失了价值约7000万美元的代币。黑客升级了UPCX的ProxyAdmin合约,随后执行了一个允许管理员提取资金的功能,导致资金从三个不同的管理账户中被转移。
- Infini - 4950 万美元
攻击方式:权限管理漏洞 链平台:Ethereum
2 月 24 日,Infini被盗4950万美元,其原因为内部一开发人员通过欺骗团队秘密保留了合约管理权限,通过升级合约盗走资金。
- Abracadabra Finance - 1300 万美元
攻击方式:合约漏洞 链平台:Ethereum
3月25日,去中心化借贷协议Abracadabra Finance因合约漏洞被盗约6,262枚ETH,损失约1300万美元。
- Cork Protocol - 1200 万美元
攻击方式:合约漏洞 链平台:Ethereum
5月28日,以太链上的锚定资产协议Cork Protocol遭受攻击,攻击者通过项目合约的逻辑漏洞(未验证关键参数)获利1200万美元。
- BitoPro - 1150 万美元
攻击方式:私钥泄露 链平台:多链
6月2日,加密交易所BitoPro发布公告确认被攻击,表示近期在进行钱包系统升级与加密产转移期间,其热钱包遭遇黑客攻击,多个链上热钱包异常流出资金约1150万美元。
3、被攻击项目类型
CEX 为损失金额最高的项目类型
上半年损失最高的项目类型为中心化交易所,6 次针对中心化交易所的攻击共造成了超过 15.91 亿美元的损失,其中损失金额最大的交易所为Bybit,损失约14.4亿美元。其余损失金额较大的有Nobitex(损失约9000万美元)、Phemex(损失约7000万美元),Noones、BitoPro和Coinbase也遭到攻击。
排在第二位的被攻击类型为 DeFi。其中 CetusProtocol 被盗约 2.24 亿美元,占 DeFi 被盗资金的 69.1%,其余损失金额较大的 DeFi 项目有 AbracadabraFinance(1300 万美元)、CorkProtocol(约1200 万美元)、Resupply(约 960 万美元)、zkLend(约 950 万美元)、Ionic(约 880 万美元)、AlexProtocol(约 837 万美元)。
此外,2起安全事件发生在加密支付领域,损失约1.20亿美元,排在所有项目类型的第三位。其它被攻击的项目类型还包括:浏览器、代币合约、跨链桥、Memecoin发射台等。
4、各链损失金额情况
Ethereum为损失金额最高、攻击事件最多的链
和往年相同的是,Ethereum 依旧是损失金额最高的公链。81 次 Ethereum 上的攻击事件造成了 17.39 亿美元的损失,占到了总损失的 81.3%。
攻击事件次数排名第二的公链为 BNB Chain,33次攻击事件共造成了约4253万美元的损失。BNB Chain的链上攻击次数多,损失金额相对较小,但相比去年同时期,攻击次数与损失金额均大幅增加,损失金额增加357%。
Arbitrum和Base分列第三、第四,损失金额分别为2120万美元和1305万美元。相较于去年同时期,Arbitrum链攻击次数有所增加,但损失金额大幅下降71.8%;Base链攻击击次数与损失金额均大幅增加,损失金额增加294%。
5、攻击手法分析
70%的攻击来自合约漏洞
上半年共发生 63 次针对合约漏洞的攻击事件,造成损失达到了 4.08 亿美元,是除Bybit因钱包基础设施缺陷被盗外,损失金额最大的一类攻击手段。今年上半年私钥泄露事件造成的损失相比于去年同时期大幅减少,但总损失金额仍超过1.02亿美元。
按照合约漏洞细分,造成损失前三名的漏洞分别为:业务逻辑漏洞(3.56亿美元)、算法缺陷(2137万美元)、校验漏洞(1270万美元)。出现次数前三名的合约漏洞为业务逻辑漏洞(45次)、访问控制漏洞(7次)、算法缺陷(5次)。
6、被盗资金流向分析
仅 11.1% 被盗资产被冻结和追回
据 Beosin KYT 反洗钱平台分析显示,2025 年上半年被盗的资金中,约 2.38 亿美元被盗资金被冻结或追回,占比约 11.1%。
约有9789万美元的被盗资金转入了各交易所,占比约 4.6%。共有2.78亿美元(13.0%)转入了混币器:约1946万美元转入了 Tornado Cash;2.59亿美元转入了其它混币器。和去年相比,2025年上半年通过混币清洗的被盗资金大幅增加。
7、2025年上半年 Web3区块链安全态势总结
和2024上半年相比,今年上半年因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 21.38 亿美元。交易所、主流公链生态的攻击次数和损失金额整体上都在增加,Web3 安全领域形势依然非常严峻。
上半年造成危害最大的攻击事件为Bybit被盗事件,约 67.4% 的损失金额来自该事件。从项目类型来看,攻击事件遍布于Web3各个领域:交易所、DeFi、个人钱包、基础设施、代币合约、支付平台、浏览器、Memecoin发射平台等。各个Web3项目方/个人用户都需要提高警惕,离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期权限更新与安全培训。
上半年仅有一小部分资产被冻结或追回,这表明全球监管和反洗钱力度仍需加强。上半年黑客向交易所转入被盗资金的比例大幅下降,这与交易所加强反洗钱、及时识别黑客行为,积极配合执法机构和项目方冻结资金和进行调证有关。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果,因此黑客更多地尝试选择多种混币器进行资金清洗。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
