2025 上半年 Web3 區塊鏈安全態勢概覽
2025 年 1–6 月,區塊鏈行業創下單半年損失金額的歷史新高,安全事件呈現「次數下降、單筆損失飆升」的集中化特徵,中心化交易所與 DeFi 協議成為重災區,釣魚與社會工程則取代傳統私鑰泄露,成為最頻發的攻擊入口。
一、核心數據[編輯 | 編輯原始碼]
| 來源 | 統計口徑 | 事件數量 | 總損失(披露時幣價) | 淨損失(扣除追回) |
|---|---|---|---|---|
| 慢霧 SlowMist | 已確認黑客事件 | 121 起 | ≈ 23.7 億美元 | 未披露 |
| CertiK | 鏈上安全事件 | 344 起 | ≈ 24.7 億美元 | 22.9 億美元 |
| 登鏈社區 | 重大事件 | 87 起 | ≈ 22.9 億美元 | 22.9 億美元 |
| Beosin | 主要攻擊事件 | 90 起 | ≈ 20.9 億美元 | 未披露 |
「重大事件」指已公開且損失超 100 萬美元的案例。
- 僅 Bybit 冷錢包釣魚案(14.6 億美元)與 Cetus Protocol 合約溢出案(2.2 億美元)兩起極端事件,就占上半年總損失的 約 72%。
- 若剔除上述兩起巨案,其餘事件的 平均損失約 350 萬美元 / 起,仍高於 2024 年同期水平。
二、被攻擊項目類型[編輯 | 編輯原始碼]
- 中心化交易所(CEX)
- 事件:6 起
- 損失:> 15.9 億美元(占比 74% 以上)
- 代表:Bybit(14.4 億)、Nobitex(9 千萬)、Phemex(7 千萬)
- DeFi 協議
- 事件:90+ 起
- 損失:≈ 3.2 億美元(占比 15%)
- 代表:Cetus Protocol(2.24 億)、Abracadabra Finance(1 300 萬)
- 加密支付平台、跨鏈橋、瀏覽器、Meme 發射台等
- 合計損失:約 1.2 億美元
三、攻擊手法分布[編輯 | 編輯原始碼]
| 手法 | 事件占比 | 損失占比 | 典型場景 |
|---|---|---|---|
| 合約漏洞(邏輯、溢出、訪問控制) | 60% | 80% | DeFi 池子、借貸協議 |
| 網絡釣魚(Permit2、IncreaseApproval、地址投毒) | 25% | 16% | 錢包授權、假空投網站 |
| 私鑰泄露 / 社會工程 | 顯著下降 | 約 1 億美元 | 內部員工被釣魚、Github 木馬 |
| 預言機操縱 | 少數 | 7 400 萬 | 價格瞬間偏移引發清算 |
| 跨鏈橋漏洞 | 少數 | 約 3 200 萬 | 多簽方案失效、共識繞過 |
- 釣魚事件單筆多在 10–100 萬美元,但發生次數首次超越合約漏洞,成為「最頻密」攻擊方式。
- 上半年僅 1.9–2.4 億美元 被盜資金被凍結或追回,追回率不足 10%。
四、安全趨勢研判[編輯 | 編輯原始碼]
- 攻擊專業化 團伙固定、腳本自動化、多鏈協同洗錢,48 小時內完成「盜–換–混–提」全鏈路。
- 目標集中化 大額損失集中在少數頭部平台;普通用戶更多遭受「釣魚 + 地址投毒」小額但高頻的掠奪。
- 人為漏洞主導 私鑰管理鬆懈、前端 UI 投毒、內部員工被釣魚,已成為攻破「冷錢包」「多簽」的最短路徑。
- 監管與反洗錢提速 交易所強化鏈上識別與凍結協作,黑客轉向跨鏈橋、跨層 Rollup 以及碎片化 OTC 出貨。
五、防範建議[編輯 | 編輯原始碼]
- 項目方 升級「多簽 + 時間鎖」流程,禁止盲簽,強制人類可讀解析; 對合約進行形式化驗證,重點檢查數學運算溢出與訪問控制; 引入實時波動率限制與 Volatility Oracle,防止閃電貸價格操縱。
- 用戶 拒絕點擊社群空投鏈接,使用硬件錢包並開啟多重驗證; 授權前核對域名與函數簽名,警惕 Permit/Permit2 無 Gas 簽名釣魚; 大額資產分散存放,長期持倉使用冷簽或 MPC 錢包。
六、參考報告[編輯 | 編輯原始碼]
CertiK《Hack3d:2025 年第二季度及上半年 Web3.0 安全報告》
登鏈社區《2025 年上半年 Web3 鏈上安全態勢分析報告》
Gate.com《Web3.0 安全警報:2025 上半年損失近 25 億美元》
MarsBit《2025 上半年 Web3 安全報告揭示交易所成最大「提款機」》