CertiK年度安全報告：2025年Web3損失年增37%，釣魚攻擊與供應鏈事件成主要威脅

12 月23 日，全球最大的Web3 安全公司CertiK 發布《2025 Skynet Hack3D Web3 安全報告》，系統整理了過去一年Web3 領域的主要安全事件與風險趨勢。報告指出，Web3 產業在回升的市場環境與更清晰的監管預期中加速發展，但安全風險並未隨之緩解，仍面臨系統性安全挑戰。

報告顯示，2025 年Web3 領域共發生630 起安全事件，造成總計約33.5 億美元損失，較2024 年同比增長37%；儘管事件數量較上年減少137 起，但單次攻擊平均損失達532.2 萬美元，同比激增66.6%，凸顯攻擊者向高價值價值，凸顯目標集中的趨勢。

供應鏈攻擊推高年度損失

從攻擊類型來看，供應鏈攻擊成為2025 年造成損失最大的風險來源。儘管全年僅記錄到兩起相關事件，但累計損失高達14.5 億美元，佔全年總損失的近一半。其中，發生於2 月的Bybit 事件佔損失的絕大部分。

根據報告披露，Bybit 在2025 年2 月遭遇的安全事件造成約14 億美元損失，被認為是迄今為止規模最大的加密資產竊盜事件之一。攻擊者並未直接突破交易所繫統，而是透過入侵第三方多簽錢包服務商的開發者環境，在簽章流程中植入惡意程式碼，從而繞過多重核准機制。

CertiK 在報告中指出，類似事件反映出攻擊者正將資源集中投向關鍵服務提供者和底層工具，而非單一協定本身，供應鏈安全已成為不可忽視的系統性風險。

釣魚攻擊高發，AI 成為“放大器”

在攻擊頻率方面，網路釣魚仍是2025 年最常見的安全威脅。報告顯示，全年共記錄248 起釣魚攻擊事件，造成約7.23 億美元的損失，發生次數略高於程式碼漏洞攻擊（240 起）。

值得注意的是，CertiK 認為這一數字仍可能被低估。大量針對個人用戶的釣魚和詐騙事件並未被正式披露，尤其是損失金額較小或發生在鏈下的社會工程攻擊。

報告強調，人工智慧的普及正在顯著降低釣魚攻擊的技術門檻。攻擊者開始利用AI 產生高度模擬的釣魚網站、錢包彈跳窗和多語言詐騙訊息，並結合鏈上資料和社群媒體內容進行「精準投放」。傳統依賴語法錯誤或模板特徵進行辨識的防禦方式，正逐漸失效。

監管趨清晰，安全正從“成本項”轉為“基礎設施”

在風險上升的同時，報告也注意到全球監管環境正在發生正面變化。美國圍繞穩定幣和數位資產透明度的立法進展，為產業釋放出更明確的政策訊號；歐盟MiCA 框架、新加坡和中國香港的監管沙盒，也正在推動Web3 走向更規範的發展階段。

CertiK 在報告中指出，隨著機構和合規資金持續入場，安全能力正從「事後補救」轉變為專案設計和營運中的基礎設施要素。無論是對專案方或個人使用者而言，安全性已不再是可選項，而是影響長期生存能力的關鍵變數。

報告最後展望稱，未來一年，AI 驅動的仿冒攻擊、複雜化的供應鏈入侵以及針對個人用戶的社會工程攻擊仍將持續演變。在這一背景下，將安全性嵌入架構設計、開發流程和使用者體驗之中的項目，才有可能在新一輪Web3 競爭中脫穎而出。

報告全文： https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a