Chainfeeds 導讀:
報告顯示,2025 年 Web3 領域共發生 630 起安全事件,造成總計約 33.5 億美元損失,較 2024 年同比增長 37%。
文章來源:
https://mp.weixin.qq.com/s/nnFPJwTtCC_iJeIULU7R_Q
文章作者:
CertiK
觀點:
CertiK:從攻擊類型來看,供應鏈攻擊成為 2025 年造成損失最大的風險源。儘管全年僅記錄到兩起相關事件,但累計損失高達 14.5 億美元,佔全年總損失的近一半。其中,發生於 2 月的 Bybit 事件佔損失的絕大部分。Bybit 在 2025 年 2 月遭遇的安全事件造成約 14 億美元損失,被認為是迄今為止規模最大的加密資產盜竊事件之一。攻擊者並未直接突破交易所繫統,而是通過入侵第三方多籤錢包服務商的開發者環境,在簽名流程中植入惡意代碼,從而繞過多重審批機制。報告指出,類似事件反映出攻擊者正將資源集中投向關鍵服務提供方和底層工具,而非單一協議本身,供應鏈安全已成為不可忽視的系統性風險。在攻擊頻次方面,網絡釣魚仍是 2025 年最常見的安全威脅:全年共記錄 248 起釣魚攻擊事件,造成約 7.2 億美元的損失。然而,這一數字仍可能被低估。大量面向個人用戶的釣魚和詐騙事件並未被正式披露,尤其是損失金額較小或發生在鏈下的社會工程學攻擊。AI 的普及正在顯著降低釣魚攻擊的技術門檻,攻擊者開始利用 AI 生成高度仿真的釣魚網站、錢包彈窗和多語言詐騙信息,並結合鏈上數據和社交媒體內容進行「精準投放」。傳統依賴語法錯誤或模板特徵進行識別的防禦方式,正逐漸失效。在風險上升的同時,全球監管環境正在發生積極變化。美國圍繞穩定幣和數字資產透明度的立法進展,為行業釋放出更明確的政策信號;歐盟 MiCA 框架、新加坡和中國香港的監管沙盒,也正在推動 Web3 走向更規範的發展階段。隨著機構和合規資金持續入場,安全能力正從「事後補救」轉變為項目設計和運營中的基礎設施要素。無論是對項目方還是個人用戶而言,安全已不再是可選項,而是影響長期生存能力的關鍵變量。未來一年,AI 驅動的仿冒攻擊、複雜化的供應鏈入侵以及針對個人用戶的社會工程學攻擊仍將持續演變。在這一背景下,將安全嵌入架構設計、開發流程和用戶體驗之中的項目,才有可能在新一輪 Web3 競爭中脫穎而出。
內容來源
