loading...
据Beosin Alert监控数据显示,2025年上半年,全球Web3领域因黑客攻击、钓鱼诈骗及项目方Rug Pull造成的总损失约为21.38亿美元。其中主要攻击事件90起,累计损失达20.93亿美元;Rug Pull损失约320万美元;钓鱼诈骗造成4138万美元损失。
从项目类型看,中心化交易所(CEX)成为损失最严重的类别。6起针对交易所的攻击共造成超过15.91亿美元损失,占全部攻击损失的74.4%。其中Bybit事件单起损失高达14.4亿美元,是本年度最严重的一次安全事故。
在各链层面,Ethereum依然是攻击最频繁、损失金额最高的区块链。81次攻击事件造成17.39亿美元损失,占比达81.3%。紧随其后的是Sui链,因Cetus Protocol合约漏洞事件损失约2.24亿美元。
上半年共发生63起合约漏洞攻击,造成4.08亿美元损失,占比超过七成。其中业务逻辑漏洞最为常见,共45次,导致3.56亿美元损失。此外,私钥泄露、访问控制缺陷等也成为重要风险点。
2月21日,加密交易平台Bybit因Safe多签钱包前端被篡改,黑客通过植入恶意脚本诱导签名者签署伪造交易,导致约14.4亿美元资产被盗。该事件成为2025年上半年损失金额最高的单一事件,占攻击总损失的67.4%。
5月22日,Sui生态去中心化交易所Cetus Protocol因开源库中左移运算实现不当引发漏洞,攻击者利用此缺陷盗取约2.24亿美元。经多方协作,已有1.62亿美元资金被成功冻结。
6月18日,伊朗最大加密交易所Nobitex遭遇攻击,损失超9000万美元。一个名为“Gonjeshke Darande”的亲以色列组织宣称对此负责,将其定性为对伊朗加密基础设施的打击行动。
除交易所外,去中心化金融(DeFi)项目同样面临严峻挑战。Cetus Protocol、Abracadabra Finance、Cork Protocol等均因合约漏洞遭受巨额损失,合计占DeFi类项目损失总额的近七成。
上半年另有两起支付系统相关攻击事件,造成约1.20亿美元损失。跨链桥、浏览器、代币发行平台等也相继暴露安全短板,反映出Web3生态整体防御体系仍不完善。
Ethereum链上半年共发生81起攻击,损失17.39亿美元,占据绝对主导地位。BNB Chain攻击次数达33次,损失金额达4253万美元,同比增加357%。Arbitrum与Base链损失分别达2120万和1305万美元,其中Base链损失增幅高达294%。
上半年63起合约漏洞攻击中,业务逻辑漏洞占比最高,造成3.56亿美元损失。算法缺陷和校验漏洞分别导致2137万与1270万美元损失。值得注意的是,尽管私钥泄露事件数量下降,但总损失仍超过1.02亿美元。
根据Beosin KYT反洗钱平台数据,2025年上半年仅有约2.38亿美元被盗资金被冻结或追回,占比仅为11.1%。另有9789万美元转入交易所,而2.78亿美元(13.0%)进入混币器,其中1946万美元流入Tornado Cash,其余则通过其他混币工具进行清洗。
与2024年同期相比,2025年上半年Web3安全形势进一步恶化,总损失突破21亿美元。以太坊生态仍是高危区域,交易所与DeFi项目接连遇袭,反映出整体安全防护能力尚未跟上技术发展速度。
当前,虽然交易所反洗钱机制加强,使得黑客直接转至交易所的比例下降,但其转向混币器清洗资金的趋势明显,表明攻击者策略正在演化。
建议所有项目方在上线前进行全面的安全审计,尤其关注合约逻辑与权限管理。个人用户应坚持离线存储私钥、启用多重签名机制,并定期更新权限设置。企业需强化员工安全培训,防范内部风险。
作为全球领先的区块链安全机构,Beosin提供涵盖代码审计、实时监控、资产追回与合规评估的全链条服务,助力构建更安全的Web3生态。
663
364
831
312
306
823
263
159
300
454
