12月23日，全球最大的Web3安全公司CertiK發佈《2025 Skynet Hack3D Web3安全報告》，系統梳理了過去一年Web3領域的主要安全事件與風險趨勢。報告指出，Web3行業在回暖的市場環境與更清晰的監管預期中加速發展，但安全風險並未隨之緩解，仍面臨著系統性安全挑戰。

報告顯示，2025年Web3領域共發生630起安全事件，造成總計約33.5億美元損失，較2024年同比增長37%；儘管事件數量較上年減少137起，但單次攻擊平均損失達532.2萬美元，同比激增66.6%，凸顯攻擊者向高價值目標集中的趨勢。

供應鏈攻擊推高年度損失

從攻擊類型來看，供應鏈攻擊成為2025年造成損失最大的風險源。儘管全年僅記錄到兩起相關事件，但累計損失高達14.5億美元，佔全年總損失的近一半。其中，發生於2月的Bybit事件佔損失的絕大部分。

據報告披露，Bybit在2025年2月遭遇的安全事件造成約14億美元損失，被認為是迄今為止規模最大的加密資產盜竊事件之一。攻擊者並未直接突破交易所繫統，而是通過入侵第三方多籤錢包服務商的開發者環境，在簽名流程中植入惡意代碼，從而繞過多重審批機制。

CertiK在報告中指出，類似事件反映出攻擊者正將資源集中投向關鍵服務提供方和底層工具，而非單一協議本身，供應鏈安全已成為不可忽視的系統性風險。

釣魚攻擊高發，AI成為“放大器”

在攻擊頻次方面，網絡釣魚仍是2025年最常見的安全威脅。報告顯示，全年共記錄248起釣魚攻擊事件，造成約7.23億美元的損失，發生次數略高於代碼漏洞攻擊（240起）。

值得注意的是，CertiK認為這一數字仍可能被低估。大量面向個人用戶的釣魚和詐騙事件並未被正式披露，尤其是損失金額較小或發生在鏈下的社會工程學攻擊。

報告強調，人工智能的普及正在顯著降低釣魚攻擊的技術門檻。攻擊者開始利用AI生成高度仿真的釣魚網站、錢包彈窗和多語言詐騙信息，並結合鏈上數據和社交媒體內容進行“精準投放”。傳統依賴語法錯誤或模板特徵進行識別的防禦方式，正逐漸失效。

監管趨清晰，安全正從“成本項”轉為“基礎設施”

在風險上升的同時，報告也注意到全球監管環境正在發生積極變化。美國圍繞穩定幣和數字資產透明度的立法進展，為行業釋放出更明確的政策信號；歐盟MiCA框架、新加坡和中國香港的監管沙盒，也正在推動Web3走向更規範的發展階段。

CertiK在報告中指出，隨著機構和合規資金持續入場，安全能力正從“事後補救”轉變為項目設計和運營中的基礎設施要素。無論是對項目方還是個人用戶而言，安全已不再是可選項，而是影響長期生存能力的關鍵變量。

報告最後展望稱，未來一年，AI驅動的仿冒攻擊、複雜化的供應鏈入侵以及針對個人用戶的社會工程學攻擊仍將持續演變。在這一背景下，將安全嵌入架構設計、開發流程和用戶體驗之中的項目，才有可能在新一輪Web3競爭中脫穎而出。

報告全文：https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a