*本報告由 Beosin、Footprint Analytics 共同出品
1. 2025 年上半年Web3區塊鏈安全態勢綜述
根據Beosin Alert 監控及預警顯示, 2025 年上半年 Web3 領域因駭客攻擊、釣魚詐騙和專案方Rug Pull 造成的總損失約 21.38 億美元。其中主要攻擊事件 90 起,總損失金額約 20.93 億美元;Rug Pull 總損失金額約 320 萬美元;釣魚詐騙總損失金額約 4,138 萬美元。
從被攻擊項目類型來看,交易所成為損失金額最高的項目類型。 6 次針對交易所平台的攻擊共造成了超過 15.91 億美元的損失,佔所有攻擊損失金額的 74.4% 。
從各鏈損失金額來看,Ethereum 依舊為損失金額最高、攻擊事件最多的鏈。 81 次Ethereum 上的攻擊事件造成了 17.39 億美元的損失,佔了總損失的 81.3% 。 Sui 因為 Cetus Protocol 事件損失約 2.24 億美元,排名第二。
從攻擊手法來看,上半年利用合約漏洞進行攻擊的事件最為頻繁,共發生 63 次,造成損失達了4.08 億美元。 Bybit 因錢包基礎設施缺陷被盜 14.4 億美元,佔了總攻擊損失金額的 67.4% ,是損失金額佔比最高的攻擊類型。
從資金流向來看,上半年僅有一小部分(約 2.38 億美元)被盜資金被凍結或追回,約 71.2% 的被盜資金仍在鏈上錢包中流轉,未流入交易所或混幣器。
2、 2025 年上半年攻擊事件總覽
90 起主要攻擊事件共造成損失 20.93 億美元
2025 年上半年,Beosin Alert 共監控到Web3 領域主要攻擊事件90 起,總損失金額達20.93 億美元。其中損失金額超過1 億美元的安全事件共2 起,損失在1000 萬美元- 1 億美元區間的事件共7 起, 100 萬美元- 1000 萬美元區間的事件18 起。
損失金額超過千萬美元的攻擊事件(按金額排序):
● Bybit - 14.4 億美元
攻擊方式:Safe 錢包前端被竄改 鏈平台:Ethereum
2 月 21 日,加密貨幣交易所Bybit 遭遇攻擊,其 Safe 多簽錢包約 14.4 億美元資金被竊。駭客透過入侵 Safe 的伺服器植入了惡意程式碼,替換了正常的交易請求,導致簽署者在不知情的情況下簽署了被篡改的交易。
● Cetus Protocol - 2.24 億美元
攻擊方式:合約漏洞 鏈平台:Sui
5 月22 日,Sui 生態上的 DEX Cetus Protocol 被攻擊,漏洞源自於開源程式庫程式碼中左移運算的實作錯誤。隨後在Sui 基金會及其它生態項目合作下,已成功凍結了在Sui 上的1.62 億美元的被盜資金。
● Nobitex - 9 000 萬美元
攻擊方式:暫未明確 鏈平台:多鏈
6 月 18 日,伊朗最大加密交易所Nobitex 發佈公告稱遭遇駭客攻擊,損失超 9,000 萬美元,涉及 BTC、ETH、Doge、XRP、SOL、TRX 和 TON 等多種加密貨幣。一個名為「Gonjeshke Darande」的親以色列組織已宣布對此次攻擊負責,並將此次攻擊定性為針對伊朗加密基礎設施的打擊。
● Phemex - 7000 萬美元
攻擊方式:私鑰外洩 鏈平台:多鏈
1 月 23 日,總部位於新加坡的加密貨幣交易所Phemex 熱錢包中約 7,000 萬美元的加密資產被盜,涉及 ETH、SOL、BTC、BNB、USDT 等多種加密資產。
● UPCX - 7000 萬美元
攻擊方式:存取控制漏洞 鏈平台:Ethereum
4 月 1 日,UPCX 由於未經授權的訪問損失了價值約 7000 萬美元的代幣。駭客升級了 UPCX 的 ProxyAdmin 合約,隨後執行了一個允許管理員提取資金的功能,導致資金從三個不同的管理帳戶中被轉移。
● Infini - 4,950 萬美元
攻擊方式:權限管理漏洞 鏈平台:Ethereum
2 月24 日,Infini 被盜 4,950 萬美元,原因為內部一開發人員透過欺騙團隊秘密保留了合約管理權限,透過升級合約盜走資金。
● Abracadabra Finance - 1300 萬美元
攻擊方式:合約漏洞 鏈平台:Ethereum
3 月 25 日,去中心化借貸協議 Abracadabra Finance 因合約漏洞而被盜約 6, 262 枚 ETH,損失約 1,300 萬美元。
● Cork Protocol - 1200 萬美元
攻擊方式:合約漏洞 鏈平台:Ethereum
5 月 28 日,以太鏈上的錨定資產協議Cork Protocol 遭受攻擊,攻擊者透過專案合約的邏輯漏洞(未驗證關鍵參數)獲利 1,200 萬美元。
●BitoPro - 1150 萬美元
攻擊方式:私鑰外洩 鏈平台:多鏈
6 月 2 日,加密交易所BitoPro 發佈公告確認被攻擊,表示近期在進行錢包系統升級與加密產轉移期間,其熱錢包遭遇黑客攻擊,多個鏈上熱錢包異常流出資金約 1150 萬美元。
3.被攻擊項目類型
CEX 為損失金額最高的項目類型
上半年損失最高的項目類型為中心化交易所, 6 次針對中心化交易所的攻擊共造成了超過15.91 億美元的損失,其中損失金額最大的交易所為 Bybit,損失約 14.4 億美元。其餘損失金額較大的有 Nobitex(損失約 9,000 萬美元)、Phemex(損失約 7,000 萬美元),Noones、BitoPro 和 Coinbase 也遭到攻擊。
排在第二位的被攻擊類型為 DeFi。其中 Cetus Protocol 被盜約 2.24 億美元,佔 DeFi 被盜資金的 69.1% ,其餘損失金額較大的 DeFi 項目有 Abracadabra Finance(1,300 萬美元)、Cork Protocol(約 1,200 萬美元)、Resupply(約 960 萬美元)、180 萬美元(約 80 萬美元) Protocol(約 837 萬美元)。
此外, 2 起安全事件發生在加密支付領域,損失約 1.20 億美元,排在所有項目類型的第三位。其它被攻擊的項目類型還包括:瀏覽器、代幣合約、跨鏈橋、Memecoin 發射台等。
4.各鏈損失金額狀況
Ethereum 為損失金額最高、攻擊事件最多的鏈
和往年相同的是,Ethereum 依舊是損失金額最高的公鏈。 81 次Ethereum 上的攻擊事件造成了17.39 億美元的損失,佔了總損失的81.3% 。
攻擊事件次數排名第二的公鏈為BNB Chain, 33 起攻擊事件共造成了約 4,253 萬美元的損失。 BNB Chain 的鏈上攻擊次數多,損失金額相對較小,但相較於去年同時期,攻擊次數與損失金額均大幅增加,損失金額增加 357% 。
Arbitrum 和 Base 分居第三、第四,損失金額分別為 2,120 萬美元和 1,305 萬美元。相較於去年同時期,Arbitrum 鏈攻擊次數有所增加,但損失金額大幅下降 71.8% ;Base 鏈攻擊擊次數與損失金額均大幅增加,損失金額增加 294% 。
5.攻擊手法分析
70% 的攻擊來自合約漏洞
上半年共發生63 次針對合約漏洞的攻擊事件,造成損失達到了4.08 億美元,是除 Bybit 因錢包基礎設施缺陷被盜外,損失金額最大的一類攻擊手段。今年上半年私鑰外洩事件造成的損失相比去年同時期大幅減少,但總損失金額仍超過 1.02 億美元。
依合約漏洞細分,造成損失前三名的漏洞分別為:業務邏輯漏洞(3.56 億美元)、演算法缺陷(2,137 萬美元)、校驗漏洞(1,270 萬美元)。出現次數前三名的合約漏洞為業務邏輯漏洞(45 次)、存取控制漏洞(7 次)、演算法缺陷(5 次)。
6.被竊資金流向分析
僅 11.1% 被盜資產被凍結和追回
根據Beosin KYT 反洗錢平台分析顯示, 2025 年上半年被盜的資金中,約2.38 億美元被盜資金被凍結或追回,佔比約 11.1% 。
約有 9,789 萬美元的被盜資金轉入了各交易所,佔比約4.6% 。共有 2.78 億美元(13.0% )轉入了混幣器:約 1946 萬美元轉入了Tornado Cash;2.59 億美元轉入了其它混幣器。和去年相比, 2025 年上半年透過混幣清洗的被竊資金大幅增加。
7. 2025 年上半年Web3區塊鏈安全態勢總結
和 2024 上半年相比,今年上半年因駭客攻擊、釣魚詐騙、專案方Rug Pull 造成的總損失大幅上升,達到了21.38 億美元。交易所、主流公鏈生態的攻擊次數和損失金額整體上都在增加,Web3 安全領域情況依然非常嚴峻。
上半年造成最大危害的攻擊事件為 Bybit 被竊事件,約67.4% 的損失金額來自此事件。從專案類型來看,攻擊事件遍及Web3各個領域:交易所、DeFi、個人錢包、基礎設施、代幣合約、支付平台、瀏覽器、Memecoin 發射平台等。各個Web3專案方/個人使用者都需要提高警惕,離線儲存私鑰、使用多重簽章、謹慎使用第三方服務、對特權員工進行定期權限更新與安全訓練。
上半年僅有一小部分資產被凍結或追回,顯示全球監管和反洗錢力度仍需加強。上半年駭客向交易所轉入被盜資金的比例大幅下降,這與交易所加強反洗錢、及時識別駭客行為,積極配合執法機構和專案方凍結資金和進行調證有關。目前交易所和執法機構、專案方、安全團隊的合作已經有了較為明顯的成果,因此駭客更嘗試選擇多種混幣器進行資金清洗。
上半年 90 起攻擊事件中,仍有63 起來自合約漏洞利用,建議專案方在上線前尋求專業的保全公司進行審計。 Beosin 作為全球最早一批從事形式化驗證的區塊鏈安全公司,主打」安全+合規「全生態業務,在全球 10 多個國家和地區設立了分部,業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控與阻斷、被盜追回、虛擬資產反洗錢(AML)以及符合各地監管要求的合規性評估服務-33363個合規產品。
