概覽
2025 年 7 月,Web3 安全事件總損失約 1.47 億美元。其中,據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io) 統計,共發生 13 起被黑事件,導致損失約 1.4 億美元,有 4248 萬美元得到凍結或返還,事件原因涉及合約漏洞、供應鏈攻擊和賬號被黑等。此外,據 Web3 反詐騙平臺 Scam Sniffer 統計,本月有 9143 名釣魚事件受害者,損失規模達 709 萬美元。
(https://dune.com/scam-sniffer/july-2025-scam-sniffer-scam-report)
安全大事件
CoinDCX
2025 年 7 月 19 日,鏈上偵探 ZachXBT 於其個人頻道發文稱:“看起來印度的中心化交易平臺 CoinDCX 可能在大約 17 小時前被盜,損失約 4420 萬美元,但截至目前仍未向社區披露此事件。”
不久後,該公司聯創 Sumit Gupta 在 X 上作出回應。在回應中,Sumit 披露受到攻擊的錢包是一個僅用於提供流動性的內部運營賬戶,客戶的資金因儲存在安全的冷錢包中而並未受到影響,交易和提款將恢復正常,攻擊產生的全部損失將由 CoinDCX 的儲備金承擔。
(https://x.com/smtgpt/status/1946597988660645900)
7 月 31 日,據 FinanceFeeds 報道,CoinDCX 的一位軟件工程師因涉及協助攻擊被捕。攻擊者以兼職工作為由向該軟件工程師的電腦中安裝惡意軟件,並支付高額兼職薪資。該惡意軟件是一款複雜的鍵盤記錄器,攻擊者藉此獲取登錄憑證並訪問 CoinDCX 的內部系統,最終導致了此次事件。
GMX
2025 年 7 月 9 日,據慢霧 MistEye 安全監控系統監測,去中心化交易平臺 GMX 遭攻擊,損失價值超 4200 萬美元的資產。據慢霧安全團隊分析,本次攻擊的核心在於攻擊者利用了 Keeper 系統執行訂單時會啟用槓桿,以及做空時會更新全局平均價格而平空卻不會更新的這兩個特性,通過重入攻擊創建大額空頭頭寸,操控了全局空頭平均價格和全局空頭倉位規模的值,從而直接放大了 GLP 價格來贖回獲利,詳細分析見GMX 被黑分析:4200 萬美金瞬間蒸發。
(https://x.com/SlowMist_Team/status/1942949653231841352)
7 月 11 日,GMX 在 X 上發佈聲明,表示此次安全事件源於 GMX V1 代碼庫的安全漏洞,該漏洞已披露,並通知 GMX V1 分支。為感謝該白帽黑客所作出的努力,GMX 已向其支付 500 萬美元賞金,此前攻擊涉及的 4200 萬美元資金已得到保障。
(https://x.com/GMX_IO/status/1943654914749534380)
BigONE
2025 年 7 月 16 日,據慢霧安全團隊監測,加密貨幣交易平臺 BigONE 遭供應鏈攻擊,損失超 2700 萬美元。攻擊者入侵了其生產網絡,並修改了賬戶與風控相關服務器的操作邏輯,從而實現資金轉出。7 月 24 日,BigONE 在 X 上更新事件進展,表示此次事件沒有發生私鑰洩露,且所有損失將由官方承擔。
(https://x.com/SlowMist_Team/status/1945346830222680330)
WOO X
2025 年 7 月 24 日,加密貨幣交易平臺 WOO X 因安全漏洞暫停提款,9 個用戶賬戶遭遇約 1400 萬美元未經授權的提款。據官方披露,漏洞源自團隊成員遭遇針對性釣魚攻擊,攻擊者通過團隊成員的設備獲得了對交易平臺開發環境的有限訪問權限,繞過了部分安全措施,協調了對這 9 個賬戶的未經授權提幣操作。
(https://support.woox.io/hc/en-us/articles/49178783818777-Temporary-withdrawal-suspension-July-24-2025)
ZKSwap
2025 年 7 月 9 日,ZKSwap 的以太坊 Layer 1 跨鏈橋遭遇了一起攻擊事件,攻擊者利用其緊急提取機制,造成約 500 萬美元的資金損失。據分析,負責驗證零知識證明的機制實際上並未真正執行驗證。這一嚴重疏漏使得攻擊者能夠任意偽造提款證明,從而繞過跨鏈橋最核心的安全保障。
(https://x.com/R4ZN1V/status/1948448167734673838)
特徵分析及安全建議
7 月份的區塊鏈安全事件中,合約漏洞仍是主要攻擊手段,攻擊目標集中在中心化交易平臺和去中心化金融平臺。其中,中心化交易平臺相關安全事件造成的總損失高達 8520 萬美元,佔本月被黑事件損失的 60.8%。慢霧安全團隊提醒開發者,DeFi 協議在集成槓桿機制、預言機等複雜功能時,應特別注意全局狀態一致性和邊界條件的完整驗證,避免因交互邏輯偏差引發系統性風險;而中心化交易平臺則應進一步提升審計標準與系統透明度,強化整體安全防線。
除鏈上攻擊外,日常使用場景中的安全隱患同樣不可忽視:
本月再次出現因通過非官方渠道購買硬件錢包而導致資產被盜的事件,受害者損失達 4.35 BTC,慢霧安全團隊此前在Web3 安全入門避坑指南|硬件錢包的常見陷阱中講解過這一手法,感興趣的讀者可點擊查看。
近期亦頻繁發生假 Zoom 會議釣魚事件:用戶點擊惡意鏈接進入偽造會議室,畫面正常卻無聲音,在攻擊者“技術支持”引導下下載所謂修復工具,最終造成資產損失。目前,Web3 釣魚演練平臺 Unphishable (https://unphishable.io/) 已上線“假 Zoom 在線會議釣魚模擬”關卡,用戶可以通過闖關打卡來提升安全意識和防護能力。
Twitter:https://twitter.com/BitpushNewsCN
比推 TG 交流群:https://t.me/BitPushCommunity
比推 TG 訂閱: https://t.me/bitpush
