2025年Web3区块链安全态势年报
2025年Web3区块链安全形势严峻,全年因黑客攻击、钓鱼诈骗与Rug Pull事件造成的总损失高达33.75亿美元,其中黑客攻击占比超94%,损失金额达31.87亿美元。尤为突出的是,中心化交易所(CEX)成为重灾区,9起攻击事件造成17.65亿美元损失,占全年总损失的52.3%;而DeFi项目虽损失金额次之(6.21亿美元),却以91次攻击成为被攻击频次最高的类别。Ethereum公链依旧是安全事件最集中、损失最严重的生态,170起事件共损失22.54亿美元,占比高达66.79%。整体来看,尽管钓鱼与Rug Pull损失大幅下降,但黑客攻击手段更趋复杂,对基础设施和供应链的威胁显著上升。
在攻击手法方面,合约漏洞利用仍是最高频的攻击方式,191起事件中有62起源于此,占比32.46%,其中业务逻辑漏洞造成的损失最为严重,达4.64亿美元。然而,年度最大单笔损失来自Bybit交易所的供应链攻击事件——黑客通过篡改Safe钱包前端,盗取14.4亿美元,占全年总损失的42.67%。此外,社会工程学和地址投毒等针对个人用户的攻击也频繁出现,两起个人用户损失分别高达9100万和5000万美元,凸显普通用户资产安全防护的薄弱环节。随着私钥泄露事件减少,攻击者正转向前端篡改、权限滥用及协议逻辑缺陷等更隐蔽路径。
报告还深入剖析了多起典型安全事件,如Cetus Protocol因左移运算溢出漏洞损失2.24亿美元,Balancer因价格计算精度误差遭攻击损失1.16亿美元,以及GMX可重入漏洞导致4200万美元被盗后的跨链洗钱路径。同时,反洗钱章节揭示了加密货币被用于跨国毒品洗钱的复杂网络,展示了Beosin Trace等工具在追踪、冻结非法资金中的关键作用。研究指出,未来AI驱动的钓鱼攻击、供应链风险及物理胁迫将成为新威胁焦点,呼吁构建涵盖技术、意识与协作的多层次防御体系。
以下为报告节选内容
