编辑“2025 上半年 Web3 区块链安全态势概览”

2025 年 1–6 月，区块链行业创下单半年损失金额的历史新高，安全事件呈现“次数下降、单笔损失飙升”的集中化特征，中心化交易所与 DeFi 协议成为重灾区，钓鱼与社会工程则取代传统私钥泄露，成为最频发的攻击入口。

== 一、核心数据 ==
{| class="wikitable"
|+
!来源
!统计口径
!事件数量
!总损失（披露时币价）
!净损失（扣除追回）
|-
|慢雾 SlowMist
|已确认黑客事件
|121 起
|≈ 23.7 亿美元
|未披露
|-
|CertiK
|链上安全事件
|344 起
|≈ 24.7 亿美元
|22.9 亿美元
|-
|登链社区
|重大事件
|87 起
|≈ 22.9 亿美元
|22.9 亿美元
|-
|Beosin
|主要攻击事件
|90 起
|≈ 20.9 亿美元
|未披露
|}
<blockquote>“重大事件”指已公开且损失超 100 万美元的案例。</blockquote>

* 仅 Bybit 冷钱包钓鱼案（14.6 亿美元）与 Cetus Protocol 合约溢出案（2.2 亿美元）两起极端事件，就占上半年总损失的 约 72%。
* 若剔除上述两起巨案，其余事件的 平均损失约 350 万美元 / 起，仍高于 2024 年同期水平。

== 二、被攻击项目类型 ==

# 中心化交易所（CEX）
#* 事件：6 起
#* 损失：> 15.9 亿美元（占比 74% 以上）
#* 代表：Bybit（14.4 亿）、Nobitex（9 千万）、Phemex（7 千万）
# DeFi 协议
#* 事件：90+ 起
#* 损失：≈ 3.2 亿美元（占比 15%）
#* 代表：Cetus Protocol（2.24 亿）、Abracadabra Finance（1 300 万）
# 加密支付平台、跨链桥、浏览器、Meme 发射台等
#* 合计损失：约 1.2 亿美元

== 三、攻击手法分布 ==
{| class="wikitable"
|+
!手法
!事件占比
!损失占比
!典型场景
|-
|合约漏洞（逻辑、溢出、访问控制）
|60%
|80%
|DeFi 池子、借贷协议
|-
|网络钓鱼（Permit2、IncreaseApproval、地址投毒）
|25%
|16%
|钱包授权、假空投网站
|-
|私钥泄露 / 社会工程
|显著下降
|约 1 亿美元
|内部员工被钓鱼、Github 木马
|-
|预言机操纵
|少数
|7 400 万
|价格瞬间偏移引发清算
|-
|跨链桥漏洞
|少数
|约 3 200 万
|多签方案失效、共识绕过
|}

* 钓鱼事件单笔多在 10–100 万美元，但发生次数首次超越合约漏洞，成为“最频密”攻击方式。
* 上半年仅 1.9–2.4 亿美元 被盗资金被冻结或追回，追回率不足 10%。

== 四、安全趋势研判 ==

# 攻击专业化  团伙固定、脚本自动化、多链协同洗钱，48 小时内完成“盗–换–混–提”全链路。
# 目标集中化  大额损失集中在少数头部平台；普通用户更多遭受“钓鱼 + 地址投毒”小额但高频的掠夺。
# 人为漏洞主导  私钥管理松懈、前端 UI 投毒、内部员工被钓鱼，已成为攻破“冷钱包”“多签”的最短路径。
# 监管与反洗钱提速  交易所强化链上识别与冻结协作，黑客转向跨链桥、跨层 Rollup 以及碎片化 OTC 出货。

== 五、防范建议 ==

* 项目方  升级“多签 + 时间锁”流程，禁止盲签，强制人类可读解析；  对合约进行形式化验证，重点检查数学运算溢出与访问控制；  引入实时波动率限制与 Volatility Oracle，防止闪电贷价格操纵。
* 用户  拒绝点击社群空投链接，使用硬件钱包并开启多重验证；  授权前核对域名与函数签名，警惕 Permit/Permit2 无 Gas 签名钓鱼；  大额资产分散存放，长期持仓使用冷签或 MPC 钱包。

== 六、参考报告 ==
CertiK《Hack3d：2025 年第二季度及上半年 Web3.0 安全报告》

登链社区《2025 年上半年 Web3 链上安全态势分析报告》

Gate.com《Web3.0 安全警报：2025 上半年损失近 25 亿美元》

MarsBit《2025 上半年 Web3 安全报告揭示交易所成最大“提款机”》