2025 上半年 Web3 区块链安全态势概览
2025 年 1–6 月,区块链行业创下单半年损失金额的历史新高,安全事件呈现“次数下降、单笔损失飙升”的集中化特征,中心化交易所与 DeFi 协议成为重灾区,钓鱼与社会工程则取代传统私钥泄露,成为最频发的攻击入口。
一、核心数据[编辑 | 编辑源代码]
| 来源 | 统计口径 | 事件数量 | 总损失(披露时币价) | 净损失(扣除追回) |
|---|---|---|---|---|
| 慢雾 SlowMist | 已确认黑客事件 | 121 起 | ≈ 23.7 亿美元 | 未披露 |
| CertiK | 链上安全事件 | 344 起 | ≈ 24.7 亿美元 | 22.9 亿美元 |
| 登链社区 | 重大事件 | 87 起 | ≈ 22.9 亿美元 | 22.9 亿美元 |
| Beosin | 主要攻击事件 | 90 起 | ≈ 20.9 亿美元 | 未披露 |
“重大事件”指已公开且损失超 100 万美元的案例。
- 仅 Bybit 冷钱包钓鱼案(14.6 亿美元)与 Cetus Protocol 合约溢出案(2.2 亿美元)两起极端事件,就占上半年总损失的 约 72%。
- 若剔除上述两起巨案,其余事件的 平均损失约 350 万美元 / 起,仍高于 2024 年同期水平。
二、被攻击项目类型[编辑 | 编辑源代码]
- 中心化交易所(CEX)
- 事件:6 起
- 损失:> 15.9 亿美元(占比 74% 以上)
- 代表:Bybit(14.4 亿)、Nobitex(9 千万)、Phemex(7 千万)
- DeFi 协议
- 事件:90+ 起
- 损失:≈ 3.2 亿美元(占比 15%)
- 代表:Cetus Protocol(2.24 亿)、Abracadabra Finance(1 300 万)
- 加密支付平台、跨链桥、浏览器、Meme 发射台等
- 合计损失:约 1.2 亿美元
三、攻击手法分布[编辑 | 编辑源代码]
| 手法 | 事件占比 | 损失占比 | 典型场景 |
|---|---|---|---|
| 合约漏洞(逻辑、溢出、访问控制) | 60% | 80% | DeFi 池子、借贷协议 |
| 网络钓鱼(Permit2、IncreaseApproval、地址投毒) | 25% | 16% | 钱包授权、假空投网站 |
| 私钥泄露 / 社会工程 | 显著下降 | 约 1 亿美元 | 内部员工被钓鱼、Github 木马 |
| 预言机操纵 | 少数 | 7 400 万 | 价格瞬间偏移引发清算 |
| 跨链桥漏洞 | 少数 | 约 3 200 万 | 多签方案失效、共识绕过 |
- 钓鱼事件单笔多在 10–100 万美元,但发生次数首次超越合约漏洞,成为“最频密”攻击方式。
- 上半年仅 1.9–2.4 亿美元 被盗资金被冻结或追回,追回率不足 10%。
四、安全趋势研判[编辑 | 编辑源代码]
- 攻击专业化 团伙固定、脚本自动化、多链协同洗钱,48 小时内完成“盗–换–混–提”全链路。
- 目标集中化 大额损失集中在少数头部平台;普通用户更多遭受“钓鱼 + 地址投毒”小额但高频的掠夺。
- 人为漏洞主导 私钥管理松懈、前端 UI 投毒、内部员工被钓鱼,已成为攻破“冷钱包”“多签”的最短路径。
- 监管与反洗钱提速 交易所强化链上识别与冻结协作,黑客转向跨链桥、跨层 Rollup 以及碎片化 OTC 出货。
五、防范建议[编辑 | 编辑源代码]
- 项目方 升级“多签 + 时间锁”流程,禁止盲签,强制人类可读解析; 对合约进行形式化验证,重点检查数学运算溢出与访问控制; 引入实时波动率限制与 Volatility Oracle,防止闪电贷价格操纵。
- 用户 拒绝点击社群空投链接,使用硬件钱包并开启多重验证; 授权前核对域名与函数签名,警惕 Permit/Permit2 无 Gas 签名钓鱼; 大额资产分散存放,长期持仓使用冷签或 MPC 钱包。
六、参考报告[编辑 | 编辑源代码]
CertiK《Hack3d:2025 年第二季度及上半年 Web3.0 安全报告》
登链社区《2025 年上半年 Web3 链上安全态势分析报告》
Gate.com《Web3.0 安全警报:2025 上半年损失近 25 亿美元》
MarsBit《2025 上半年 Web3 安全报告揭示交易所成最大“提款机”》