報告顯示,2025年Web3領域共發生630起安全事件,造成總計約33.5億美元損失,較2024年同比增長37%;儘管事件數量較上年減少137起,但單次攻擊平均損失達532.2萬美元,同比激增66.6%,凸顯攻擊者向高價值目標集中的趨勢。
文章作者、來源:CertiK
Web3行業在回暖的市場環境與更清晰的監管預期中加速發展,但安全風險並未隨之緩解,仍面臨著系統性安全挑戰。
關鍵數據
- 2月是全年損失最嚴重的月份,58起事件造成約15.4億美元損失,其中絕大部分源於Bybit事件。
- 2025年第一季度損失最為慘重,200起黑客攻擊、詐騙及漏洞利用事件導致約16.7億美元被盜,第二季度被盜金額環比下降約52%。
- 供應鏈攻擊是2025年造成損失最大的攻擊方式,僅2起事件就導致約14.5億美元的損失,佔全年總被盜總額的近一半。
- 釣魚攻擊緊隨其後,248起事件造成約7.2億美元損失,成為2025年發生頻次最高的攻擊方式,略高於代碼漏洞攻擊(240起)。
- 涉及多條鏈的漏洞共造成約4.6億美元的損失,涉及29起安全事件。
供應鏈攻擊推高年度損失
從攻擊類型來看,供應鏈攻擊成為2025年造成損失最大的風險源。儘管全年僅記錄到兩起相關事件,但累計損失高達14.5億美元,佔全年總損失的近一半。其中,發生於2月的Bybit事件佔損失的絕大部分。
Bybit在2025年2月遭遇的安全事件造成約14億美元損失,被認為是迄今為止規模最大的加密資產盜竊事件之一。攻擊者並未直接突破交易所繫統,而是通過入侵第三方多籤錢包服務商的開發者環境,在簽名流程中植入惡意代碼,從而繞過多重審批機制。
報告指出,類似事件反映出攻擊者正將資源集中投向關鍵服務提供方和底層工具,而非單一協議本身,供應鏈安全已成為不可忽視的系統性風險。
釣魚攻擊高發,AI成為“放大器”
在攻擊頻次方面,網絡釣魚仍是2025年最常見的安全威脅:全年共記錄248起釣魚攻擊事件,造成約7.2億美元的損失。
然而,這一數字仍可能被低估。大量面向個人用戶的釣魚和詐騙事件並未被正式披露,尤其是損失金額較小或發生在鏈下的社會工程學攻擊。
AI的普及正在顯著降低釣魚攻擊的技術門檻,攻擊者開始利用AI生成高度仿真的釣魚網站、錢包彈窗和多語言詐騙信息,並結合鏈上數據和社交媒體內容進行“精準投放”。傳統依賴語法錯誤或模板特徵進行識別的防禦方式,正逐漸失效。
監管趨清晰,安全正從“成本項”轉為“基礎設施”
在風險上升的同時,全球監管環境正在發生積極變化。美國圍繞穩定幣和數字資產透明度的立法進展,為行業釋放出更明確的政策信號;歐盟MiCA框架、新加坡和中國香港的監管沙盒,也正在推動Web3走向更規範的發展階段。
隨著機構和合規資金持續入場,安全能力正從“事後補救”轉變為項目設計和運營中的基礎設施要素。無論是對項目方還是個人用戶而言,安全已不再是可選項,而是影響長期生存能力的關鍵變量。
未來一年,AI驅動的仿冒攻擊、複雜化的供應鏈入侵以及針對個人用戶的社會工程學攻擊仍將持續演變。在這一背景下,將安全嵌入架構設計、開發流程和用戶體驗之中的項目,才有可能在新一輪Web3競爭中脫穎而出。
結語
CertiK作為全球最大的Web3安全公司,長期為行業提供安全事件分析、安全指南、安全報告等行業洞察,向行業傳遞關鍵的安全信息。安全報告一經發布,便得到行業的高度重視,迅速被諸如CoinDesk和Cointelegraph等Web3領域的核心媒體所報道和引用。
歡迎大家點擊文末的“原文鏈接”來閱讀完整的《2025 Skynet Hack3D Web3安全報告》,獲取更全面的分析、洞察和建議。
