Chainfeeds 导读:
报告显示,2025 年 Web3 领域共发生 630 起安全事件,造成总计约 33.5 亿美元损失,较 2024 年同比增长 37%。
文章来源:
https://mp.weixin.qq.com/s/nnFPJwTtCC_iJeIULU7R_Q
文章作者:
CertiK
观点:
CertiK:从攻击类型来看,供应链攻击成为 2025 年造成损失最大的风险源。尽管全年仅记录到两起相关事件,但累计损失高达 14.5 亿美元,占全年总损失的近一半。其中,发生于 2 月的 Bybit 事件占损失的绝大部分。Bybit 在 2025 年 2 月遭遇的安全事件造成约 14 亿美元损失,被认为是迄今为止规模最大的加密资产盗窃事件之一。攻击者并未直接突破交易所系统,而是通过入侵第三方多签钱包服务商的开发者环境,在签名流程中植入恶意代码,从而绕过多重审批机制。报告指出,类似事件反映出攻击者正将资源集中投向关键服务提供方和底层工具,而非单一协议本身,供应链安全已成为不可忽视的系统性风险。在攻击频次方面,网络钓鱼仍是 2025 年最常见的安全威胁:全年共记录 248 起钓鱼攻击事件,造成约 7.2 亿美元的损失。然而,这一数字仍可能被低估。大量面向个人用户的钓鱼和诈骗事件并未被正式披露,尤其是损失金额较小或发生在链下的社会工程学攻击。AI 的普及正在显著降低钓鱼攻击的技术门槛,攻击者开始利用 AI 生成高度仿真的钓鱼网站、钱包弹窗和多语言诈骗信息,并结合链上数据和社交媒体内容进行「精准投放」。传统依赖语法错误或模板特征进行识别的防御方式,正逐渐失效。在风险上升的同时,全球监管环境正在发生积极变化。美国围绕稳定币和数字资产透明度的立法进展,为行业释放出更明确的政策信号;欧盟 MiCA 框架、新加坡和中国香港的监管沙盒,也正在推动 Web3 走向更规范的发展阶段。随着机构和合规资金持续入场,安全能力正从「事后补救」转变为项目设计和运营中的基础设施要素。无论是对项目方还是个人用户而言,安全已不再是可选项,而是影响长期生存能力的关键变量。未来一年,AI 驱动的仿冒攻击、复杂化的供应链入侵以及针对个人用户的社会工程学攻击仍将持续演变。在这一背景下,将安全嵌入架构设计、开发流程和用户体验之中的项目,才有可能在新一轮 Web3 竞争中脱颖而出。
内容来源
