报告显示,2025年Web3领域共发生630起安全事件,造成总计约33.5亿美元损失,较2024年同比增长37%;尽管事件数量较上年减少137起,但单次攻击平均损失达532.2万美元,同比激增66.6%,凸显攻击者向高价值目标集中的趋势。
文章作者、来源:CertiK
Web3行业在回暖的市场环境与更清晰的监管预期中加速发展,但安全风险并未随之缓解,仍面临着系统性安全挑战。
关键数据
- 2月是全年损失最严重的月份,58起事件造成约15.4亿美元损失,其中绝大部分源于Bybit事件。
- 2025年第一季度损失最为惨重,200起黑客攻击、诈骗及漏洞利用事件导致约16.7亿美元被盗,第二季度被盗金额环比下降约52%。
- 供应链攻击是2025年造成损失最大的攻击方式,仅2起事件就导致约14.5亿美元的损失,占全年总被盗总额的近一半。
- 钓鱼攻击紧随其后,248起事件造成约7.2亿美元损失,成为2025年发生频次最高的攻击方式,略高于代码漏洞攻击(240起)。
- 涉及多条链的漏洞共造成约4.6亿美元的损失,涉及29起安全事件。
供应链攻击推高年度损失
从攻击类型来看,供应链攻击成为2025年造成损失最大的风险源。尽管全年仅记录到两起相关事件,但累计损失高达14.5亿美元,占全年总损失的近一半。其中,发生于2月的Bybit事件占损失的绝大部分。
Bybit在2025年2月遭遇的安全事件造成约14亿美元损失,被认为是迄今为止规模最大的加密资产盗窃事件之一。攻击者并未直接突破交易所系统,而是通过入侵第三方多签钱包服务商的开发者环境,在签名流程中植入恶意代码,从而绕过多重审批机制。
报告指出,类似事件反映出攻击者正将资源集中投向关键服务提供方和底层工具,而非单一协议本身,供应链安全已成为不可忽视的系统性风险。
钓鱼攻击高发,AI成为“放大器”
在攻击频次方面,网络钓鱼仍是2025年最常见的安全威胁:全年共记录248起钓鱼攻击事件,造成约7.2亿美元的损失。
然而,这一数字仍可能被低估。大量面向个人用户的钓鱼和诈骗事件并未被正式披露,尤其是损失金额较小或发生在链下的社会工程学攻击。
AI的普及正在显著降低钓鱼攻击的技术门槛,攻击者开始利用AI生成高度仿真的钓鱼网站、钱包弹窗和多语言诈骗信息,并结合链上数据和社交媒体内容进行“精准投放”。传统依赖语法错误或模板特征进行识别的防御方式,正逐渐失效。
监管趋清晰,安全正从“成本项”转为“基础设施”
在风险上升的同时,全球监管环境正在发生积极变化。美国围绕稳定币和数字资产透明度的立法进展,为行业释放出更明确的政策信号;欧盟MiCA框架、新加坡和中国香港的监管沙盒,也正在推动Web3走向更规范的发展阶段。
随着机构和合规资金持续入场,安全能力正从“事后补救”转变为项目设计和运营中的基础设施要素。无论是对项目方还是个人用户而言,安全已不再是可选项,而是影响长期生存能力的关键变量。
未来一年,AI驱动的仿冒攻击、复杂化的供应链入侵以及针对个人用户的社会工程学攻击仍将持续演变。在这一背景下,将安全嵌入架构设计、开发流程和用户体验之中的项目,才有可能在新一轮Web3竞争中脱颖而出。
结语
CertiK作为全球最大的Web3安全公司,长期为行业提供安全事件分析、安全指南、安全报告等行业洞察,向行业传递关键的安全信息。安全报告一经发布,便得到行业的高度重视,迅速被诸如CoinDesk和Cointelegraph等Web3领域的核心媒体所报道和引用。
欢迎大家点击文末的“原文链接”来阅读完整的《2025 Skynet Hack3D Web3安全报告》,获取更全面的分析、洞察和建议。
