原文作者:星球君的朋友們
轉載:Daisy,火星財經
1、 2025 年上半年 Web3區塊鏈安全態勢綜述
據 Beosin Alert 監控及預警顯示, 2025 年上半年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失約 21.38 億美元。其中主要攻擊事件 90 起,總損失金額約 20.93 億美元;Rug Pull 總損失金額約 320 萬美元;釣魚詐騙總損失金額約 4138 萬美元。
從被攻擊項目類型來看,交易所成爲損失金額最高的項目類型。6 次針對交易所平臺的攻擊共造成了超過 15.91 億美元的損失,佔所有攻擊損失金額的 74.4% 。
從各鏈損失金額來看,Ethereum 依舊爲損失金額最高、攻擊事件最多的鏈。81 次 Ethereum 上的攻擊事件造成了 17.39 億美元的損失,佔到了總損失的 81.3% 。Sui 因爲 Cetus Protocol 事件損失約 2.24 億美元,位列第二。
從攻擊手法來看,上半年利用合約漏洞進行攻擊的事件最爲頻繁,共發生 63 次,造成損失達到了 4.08 億美元。Bybit 因錢包基礎設施缺陷被盜 14.4 億美元,佔到了總攻擊損失金額的 67.4% ,是損失金額佔比最高的攻擊類型。
從資金流向來看,上半年僅有少部分(約 2.38 億美元)被盜資金被凍結或追回,約 71.2% 的被盜資金仍在鏈上錢包中流轉,未流入交易所或混幣器。
2、 2025 年上半年攻擊事件總覽
90 起主要攻擊事件共造成損失 20.93 億美元
2025 年上半年,Beosin Alert 共監測到 Web3 領域主要攻擊事件 90 起,總損失金額達 20.93 億美元。其中損失金額超過 1 億美元的安全事件共 2 起,損失在 1000 萬美元 - 1 億美元區間的事件共 7 起, 100 萬美元 - 1000 萬美元區間的事件 18 起。
損失金額超過千萬美元的攻擊事件(按金額排序):
● Bybit - 14.4 億美元
攻擊方式:Safe 錢包前端被篡改 鏈平臺:Ethereum
2 月 21 日,加密貨幣交易所 Bybit 遭遇攻擊,其 Safe 多籤錢包約 14.4 億美元資金被盜。黑客通過入侵 Safe 的服務器植入了惡意代碼,替換了正常的交易請求,導致簽名者在不知情的情況下籤署了被篡改的交易。
● Cetus Protocol - 2.24 億美元
攻擊方式:合約漏洞 鏈平臺:Sui
5 月 22 日,Sui 生態上的 DEX Cetus Protocol 被攻擊,其漏洞源於對開源庫代碼中左移運算的實現錯誤。隨後在 Sui 基金會及其它生態項目合作下,已成功凍結了在 Sui 上的 1.62 億美元的被盜資金。
● Nobitex - 9000 萬美元
攻擊方式:暫未明確 鏈平臺:多鏈
6 月 18 日,伊朗最大加密交易所Nobitex 發佈公告稱遭遇黑客攻擊,損失超 9000 萬美元,涉及 BTC、ETH、Doge、XRP、SOL、TRX 和 TON 等多種加密貨幣。一個名爲“Gonjeshke Darande”的親以色列組織已宣佈對此次攻擊負責,並將此次襲擊定性爲針對伊朗加密基礎設施的打擊。
● Phemex - 7000 萬美元
攻擊方式:私鑰泄露 鏈平臺:多鏈
1 月 23 日,總部位於新加坡的加密貨幣交易所 Phemex 熱錢包中約 7000 萬美元的加密資產被盜,涉及 ETH、SOL、BTC、BNB、USDT 等多種加密資產。
● UPCX - 7000 萬美元
攻擊方式:訪問控制漏洞 鏈平臺:Ethereum
4 月 1 日,UPCX 由於未經授權的訪問損失了價值約 7000 萬美元的代幣。黑客升級了 UPCX 的 ProxyAdmin 合約,隨後執行了一個允許管理員提取資金的功能,導致資金從三個不同的管理賬戶中被轉移。
● Infini - 4950 萬美元
攻擊方式:權限管理漏洞 鏈平臺:Ethereum
2 月 24 日,Infini 被盜 4950 萬美元,其原因爲內部一開發人員通過欺騙團隊祕密保留了合約管理權限,通過升級合約盜走資金。
● Abracadabra Finance - 1300 萬美元
攻擊方式:合約漏洞 鏈平臺:Ethereum
3 月 25 日,去中心化借貸協議 Abracadabra Finance 因合約漏洞被盜約 6, 262 枚 ETH,損失約 1300 萬美元。
● Cork Protocol - 1200 萬美元
攻擊方式:合約漏洞 鏈平臺:Ethereum
5 月 28 日,以太鏈上的錨定資產協議Cork Protocol 遭受攻擊,攻擊者通過項目合約的邏輯漏洞(未驗證關鍵參數)獲利 1200 萬美元。
● BitoPro - 1150 萬美元
攻擊方式:私鑰泄露 鏈平臺:多鏈
6 月 2 日,加密交易所BitoPro 發佈公告確認被攻擊,表示近期在進行錢包系統升級與加密產轉移期間,其熱錢包遭遇黑客攻擊,多個鏈上熱錢包異常流出資金約 1150 萬美元。
3、被攻擊項目類型
CEX 爲損失金額最高的項目類型
上半年損失最高的項目類型爲中心化交易所, 6 次針對中心化交易所的攻擊共造成了超過 15.91 億美元的損失,其中損失金額最大的交易所爲 Bybit,損失約 14.4 億美元。其餘損失金額較大的有 Nobitex(損失約 9000 萬美元)、Phemex(損失約 7000 萬美元),Noones、BitoPro 和 Coinbase 也遭到攻擊。
排在第二位的被攻擊類型爲 DeFi。其中 Cetus Protocol 被盜約 2.24 億美元,佔 DeFi 被盜資金的 69.1% ,其餘損失金額較大的 DeFi 項目有 Abracadabra Finance(1300 萬美元)、Cork Protocol(約 1200 萬美元)、Resupply(約 960 萬美元)、zkLend(約 950 萬美元)、Ionic(約 880 萬美元)、Alex Protocol(約 837 萬美元)。
此外, 2 起安全事件發生在加密支付領域,損失約 1.20 億美元,排在所有項目類型的第三位。其它被攻擊的項目類型還包括:瀏覽器、代幣合約、跨鏈橋、Memecoin 發射臺等。
4、各鏈損失金額情況
Ethereum 爲損失金額最高、攻擊事件最多的鏈
和往年相同的是,Ethereum 依舊是損失金額最高的公鏈。81 次 Ethereum 上的攻擊事件造成了 17.39 億美元的損失,佔到了總損失的 81.3% 。
攻擊事件次數排名第二的公鏈爲 BNB Chain, 33 次攻擊事件共造成了約 4253 萬美元的損失。BNB Chain 的鏈上攻擊次數多,損失金額相對較小,但相比去年同時期,攻擊次數與損失金額均大幅增加,損失金額增加 357% 。
Arbitrum 和 Base 分列第三、第四,損失金額分別爲 2120 萬美元和 1305 萬美元。相較於去年同時期,Arbitrum 鏈攻擊次數有所增加,但損失金額大幅下降 71.8% ;Base 鏈攻擊擊次數與損失金額均大幅增加,損失金額增加 294% 。
5、攻擊手法分析
70% 的攻擊來自合約漏洞
上半年共發生 63 次針對合約漏洞的攻擊事件,造成損失達到了 4.08 億美元,是除 Bybit 因錢包基礎設施缺陷被盜外,損失金額最大的一類攻擊手段。今年上半年私鑰泄露事件造成的損失相比於去年同時期大幅減少,但總損失金額仍超過 1.02 億美元。
按照合約漏洞細分,造成損失前三名的漏洞分別爲:業務邏輯漏洞(3.56 億美元)、算法缺陷(2137 萬美元)、校驗漏洞(1270 萬美元)。出現次數前三名的合約漏洞爲業務邏輯漏洞(45 次)、訪問控制漏洞(7 次)、算法缺陷(5 次)。
6、被盜資金流向分析
僅 11.1% 被盜資產被凍結和追回
據 Beosin KYT 反洗錢平臺分析顯示, 2025 年上半年被盜的資金中,約 2.38 億美元被盜資金被凍結或追回,佔比約 11.1% 。
約有 9789 萬美元的被盜資金轉入了各交易所,佔比約 4.6% 。共有 2.78 億美元(13.0% )轉入了混幣器:約 1946 萬美元轉入了 Tornado Cash;2.59 億美元轉入了其它混幣器。和去年相比, 2025 年上半年通過混幣清洗的被盜資金大幅增加。
7、 2025 年上半年 Web3區塊鏈安全態勢總結
和 2024 上半年相比,今年上半年因黑客攻擊、釣魚詐騙、項目方 Rug Pull 造成的總損失大幅上升,達到了 21.38 億美元。交易所、主流公鏈生態的攻擊次數和損失金額整體上都在增加,Web3 安全領域形勢依然非常嚴峻。
上半年造成危害最大的攻擊事件爲 Bybit 被盜事件,約 67.4% 的損失金額來自該事件。從項目類型來看,攻擊事件遍佈於Web3各個領域:交易所、DeFi、個人錢包、基礎設施、代幣合約、支付平臺、瀏覽器、Memecoin 發射平臺等。各個Web3項目方/個人用戶都需要提高警惕,離線存儲私鑰、使用多重簽名、謹慎使用第三方服務、對特權員工進行定期權限更新與安全培訓。
上半年僅有一小部分資產被凍結或追回,這表明全球監管和反洗錢力度仍需加強。上半年黑客向交易所轉入被盜資金的比例大幅下降,這與交易所加強反洗錢、及時識別黑客行爲,積極配合執法機構和項目方凍結資金和進行調證有關。目前交易所和執法機構、項目方、安全團隊的合作已經有了較爲明顯的成果,因此黑客更多地嘗試選擇多種混幣器進行資金清洗。
上半年 90 起攻擊事件中,依然有 63 起來自合約漏洞利用,建議項目方在上線前尋求專業的安全公司進行審計。Beosin 作爲全球最早一批從事形式化驗證的區塊鏈安全公司,主打”安全+合規“全生態業務,在全球 10 多個國家和地區設立了分部,業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控與阻斷、被盜追回、虛擬資產反洗錢(AML)以及符合各地監管要求的合規評估等“一站式”區塊鏈合規產品+安全服務。
