*本报告由 Beosin、Footprint Analytics 联合出品
1、 2025 年上半年 Web3区块链安全态势综述
据 Beosin Alert 监控及预警显示, 2025 年上半年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失约 21.38 亿美元。其中主要攻击事件 90 起,总损失金额约 20.93 亿美元;Rug Pull 总损失金额约 320 万美元;钓鱼诈骗总损失金额约 4138 万美元。
从被攻击项目类型来看,交易所成为损失金额最高的项目类型。6 次针对交易所平台的攻击共造成了超过 15.91 亿美元的损失,占所有攻击损失金额的 74.4% 。
从各链损失金额来看,Ethereum 依旧为损失金额最高、攻击事件最多的链。81 次 Ethereum 上的攻击事件造成了 17.39 亿美元的损失,占到了总损失的 81.3% 。Sui 因为 Cetus Protocol 事件损失约 2.24 亿美元,位列第二。
从攻击手法来看,上半年利用合约漏洞进行攻击的事件最为频繁,共发生 63 次,造成损失达到了 4.08 亿美元。Bybit 因钱包基础设施缺陷被盗 14.4 亿美元,占到了总攻击损失金额的 67.4% ,是损失金额占比最高的攻击类型。
从资金流向来看,上半年仅有少部分(约 2.38 亿美元)被盗资金被冻结或追回,约 71.2% 的被盗资金仍在链上钱包中流转,未流入交易所或混币器。
2、 2025 年上半年攻击事件总览
Bybit - 14.4 亿美元
攻击方式:Safe 钱包前端被篡改 链平台:Ethereum
2 月 21 日,加密货币交易所 Bybit 遭遇攻击,其 Safe 多签钱包约 14.4 亿美元资金被盗。黑客通过入侵 Safe 的服务器植入了恶意代码,替换了正常的交易请求,导致签名者在不知情的情况下签署了被篡改的交易。
● Cetus Protocol - 2.24 亿美元
攻击方式:合约漏洞 链平台:Sui
5 月 22 日,Sui 生态上的 DEX Cetus Protocol 被攻击,其漏洞源于对开源库代码中左移运算的实现错误。随后在 Sui 基金会及其它生态项目合作下,已成功冻结了在 Sui 上的 1.62 亿美元的被盗资金。
● Nobitex - 9000 万美元
攻击方式:暂未明确 链平台:多链
6 月 18 日,伊朗最大加密交易所Nobitex 发布公告称遭遇黑客攻击,损失超 9000 万美元,涉及 BTC、ETH、Doge、XRP、SOL、TRX 和 TON 等多种加密货币。一个名为“Gonjeshke Darande”的亲以色列组织已宣布对此次攻击负责,并将此次袭击定性为针对伊朗加密基础设施的打击。
● Phemex - 7000 万美元
攻击方式:私钥泄露 链平台:多链
1 月 23 日,总部位于新加坡的加密货币交易所 Phemex 热钱包中约 7000 万美元的加密资产被盗,涉及 ETH、SOL、BTC、BNB、USDT 等多种加密资产。
● UPCX - 7000 万美元
攻击方式:访问控制漏洞 链平台:Ethereum
4 月 1 日,UPCX 由于未经授权的访问损失了价值约 7000 万美元的代币。黑客升级了 UPCX 的 ProxyAdmin 合约,随后执行了一个允许管理员提取资金的功能,导致资金从三个不同的管理账户中被转移。
● Infini - 4950 万美元
攻击方式:权限管理漏洞 链平台:Ethereum
2 月 24 日,Infini 被盗 4950 万美元,其原因为内部一开发人员通过欺骗团队秘密保留了合约管理权限,通过升级合约盗走资金。
● Abracadabra Finance - 1300 万美元
攻击方式:合约漏洞 链平台:Ethereum
3 月 25 日,去中心化借贷协议 Abracadabra Finance 因合约漏洞被盗约 6, 262 枚 ETH,损失约 1300 万美元。
● Cork Protocol - 1200 万美元
攻击方式:合约漏洞 链平台:Ethereum
5 月 28 日,以太链上的锚定资产协议Cork Protocol 遭受攻击,攻击者通过项目合约的逻辑漏洞(未验证关键参数)获利 1200 万美元。
● BitoPro - 1150 万美元
攻击方式:私钥泄露 链平台:多链
6 月 2 日,加密交易所BitoPro 发布公告确认被攻击,表示近期在进行钱包系统升级与加密产转移期间,其热钱包遭遇黑客攻击,多个链上热钱包异常流出资金约 1150 万美元。
3、被攻击项目类型
排在第二位的被攻击类型为 DeFi。其中 Cetus Protocol 被盗约 2.24 亿美元,占 DeFi 被盗资金的 69.1% ,其余损失金额较大的 DeFi 项目有 Abracadabra Finance(1300 万美元)、Cork Protocol(约 1200 万美元)、Resupply(约 960 万美元)、zkLend(约 950 万美元)、Ionic(约 880 万美元)、Alex Protocol(约 837 万美元)。
此外, 2 起安全事件发生在加密支付领域,损失约 1.20 亿美元,排在所有项目类型的第三位。其它被攻击的项目类型还包括:浏览器、代币合约、跨链桥、Memecoin 发射台等。
4、各链损失金额情况
攻击事件次数排名第二的公链为 BNB Chain, 33 次攻击事件共造成了约 4253 万美元的损失。BNB Chain 的链上攻击次数多,损失金额相对较小,但相比去年同时期,攻击次数与损失金额均大幅增加,损失金额增加 357% 。
Arbitrum 和 Base 分列第三、第四,损失金额分别为 2120 万美元和 1305 万美元。相较于去年同时期,Arbitrum 链攻击次数有所增加,但损失金额大幅下降 71.8% ;Base 链攻击击次数与损失金额均大幅增加,损失金额增加 294% 。
5、攻击手法分析
按照合约漏洞细分,造成损失前三名的漏洞分别为:业务逻辑漏洞(3.56 亿美元)、算法缺陷(2137 万美元)、校验漏洞(1270 万美元)。出现次数前三名的合约漏洞为业务逻辑漏洞(45 次)、访问控制漏洞(7 次)、算法缺陷(5 次)。
6、被盗资金流向分析
仅 11.1% 被盗资产被冻结和追回
据 Beosin KYT 反洗钱平台分析显示, 2025 年上半年被盗的资金中,约 2.38 亿美元被盗资金被冻结或追回,占比约 11.1% 。
约有 9789 万美元的被盗资金转入了各交易所,占比约 4.6% 。共有 2.78 亿美元(13.0% )转入了混币器:约 1946 万美元转入了 Tornado Cash;2.59 亿美元转入了其它混币器。和去年相比, 2025 年上半年通过混币清洗的被盗资金大幅增加。
7、 2025 年上半年 Web3区块链安全态势总结
和 2024 上半年相比,今年上半年因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 21.38 亿美元。交易所、主流公链生态的攻击次数和损失金额整体上都在增加,Web3 安全领域形势依然非常严峻。
上半年造成危害最大的攻击事件为 Bybit 被盗事件,约 67.4% 的损失金额来自该事件。从项目类型来看,攻击事件遍布于Web3各个领域:交易所、DeFi、个人钱包、基础设施、代币合约、支付平台、浏览器、Memecoin 发射平台等。各个Web3项目方/个人用户都需要提高警惕,离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期权限更新与安全培训。
上半年仅有一小部分资产被冻结或追回,这表明全球监管和反洗钱力度仍需加强。上半年黑客向交易所转入被盗资金的比例大幅下降,这与交易所加强反洗钱、及时识别黑客行为,积极配合执法机构和项目方冻结资金和进行调证有关。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果,因此黑客更多地尝试选择多种混币器进行资金清洗。
上半年 90 起攻击事件中,依然有 63 起来自合约漏洞利用,建议项目方在上线前寻求专业的安全公司进行审计。Beosin 作为全球最早一批从事形式化验证的区块链安全公司,主打”安全 合规“全生态业务,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控与阻断、被盗追回、虚拟资产反洗钱(AML)以及符合各地监管要求的合规评估等“一站式”区块链合规产品 安全服务。