2025 Q1 WEB3.0安全季度报告

目录 摘要↗2025年第一季度，Web3.0行业共发生197起链上安全事件，总损失约为16.69亿美元。与上季度相比总损失增加了约303.38%，安全事件数量增加了6起。↗钱包被盗造成了2025年第一季度最严重的资金损失，仅3起事件就导致约14.51亿美元被盗。↗其次是私钥泄露（作为钱包漏洞的一个子类别），15起事件共计造成约1.42亿美元的损失。↗以太坊是遭受安全事件最多的区块链，共发生98起攻击、欺诈和漏洞利用事件，总计损失约15.41亿美元。↗本季度成功追回被盗资金639万美元，调整后的实际损失总额约为16.63亿美元。↗每起事件的平均损失约为955万美元，损失中位数约为6.63万美元。2025年第一季度 02 统计图表 2025第一季度月度统计$0JanFebMar$800M$600M$400M$200MIncident CountAmount Lost$98.2M$32.4M$1,536.3M815749Incident CountAmount Lost类型统计$0WalletCompromisePrivate KeyCompromiseCodeVulnerabilityPhishingAccessControlExit Scam$800M$600M$400M$200M$142.3M$47.0M$15.7M$6.2M$1.3M$1,450.8M3151176881 统计图表 2025第一季度Incident CountAmount Lost按链统计PolygonChainsTronEthereumBSCSolana987862152$1,540.8M$83.6M$6.2M$4.5M$3.1M$1.1M$2.4M 十大损失最严重事件本季度成功追回被盗资金639万美元，调整后的实际损失总额约为16.63亿美元。每起事件的平均损失约为955万美元，损失中位数约为6.63万美元。统计图表 2025第一季度BybitPhemexMIM Spell0xInfinizklendIonicZothNoonesWemix1inch Resolver 概述2025年第一季度，因黑客攻击、诈骗和漏洞利用造成的资金被盗金额环比大幅上升，总损失达16.69亿美元。这一数额已经超过2024年全年被盗总额（23.89亿美元）的三分之二。本季度的绝大部分损失都源于Bybit遭遇的一起灾难性安全事件，导致约14.5亿美元的损失。这一事件引发了整个行业的震动，中心化交易所的安全措施受到强烈质疑，许多监管机构和安全公司纷纷呼吁加强保护措施。本报告后续将详细分析这一事件。尽管遭遇重大安全事件，2025年第一季度仍出现了一些重要的监管与战略进展。例如，美国政府宣布成立战略加密货币储备（Strategic Cryptocurrency Reserve），旨在确保美国在数字资产生态系统中的金融利益。此外，美国证券交易委员会（SEC）成立了加密货币特别工作组（Crypto Task Force），转向提供更明确的监管指导，而非此前阻碍创新的“执法优先”策略。欧盟则通过《加密资产市场法案》（MiCA）敲定技术标准，进一步推进其在加密合规领域的监管落地。这些监管举措旨在提升行业透明度与稳定性，但对于当前持续困扰行业的安全风险而言，效果仍然有限。本季度最大的安全隐患之一是私钥泄露事件激增，（作为钱包漏洞的一个子类别）共发生15起相关安全事件，损失达1.42亿美元。此外，本季度追回的被盗资金仅占0.38%，远低于上季度的42.09%，这使得实际净损失更为惨重。事实上，2025年2月无一笔被盗资金被成功追回。值得一提的是，尽管本季度因网络钓鱼造成的总损失金额远低于钱包被盗，但网络钓鱼的事件数量仍然高于其他攻击手段。本季度81起网络钓鱼攻击共造成1,579万美元损失。这一数据表明，单次网络钓鱼攻击的影响较小，但其发生频率极高。网络钓鱼的增加可能与日益复杂的社会工程学策略有关，例如伪造的去中心化应用（dApp）、恶意浏览器扩展以及基于深度伪造（Deepfake）的身份冒充等手法，使用户更容易在不知情的情况下泄露敏感信息。 06 以太坊依然是最主要的攻击目标，共发生98起安全事件，损失金额达15.41亿美元。其在DeFi和智能合约领域的主导地位，使其成为攻击者的首要目标。数十亿美元的资产被锁定在DeFi协议中，一旦这些协议存在合约漏洞或权限管理不当，极易受到攻击。此外，以太坊在多链桥中的广泛使用，也增加了跨链攻击的风险，攻击者往往试图利用互操作层中最薄弱的环节进行攻击。创新与攻击之间的竞赛正在加速，安全防御的发展难以跟上日益复杂的攻击手段。黑客正利用社会工程学、人工智能、合约操纵等手段绕过原本坚固的安全防线。随着加密货币采用率提升和资产估值走高，预计被盗资金数额仍将持续上升。然而，区块链技术的进步或许能够在未来改变这一局面。例如零知识证明（ZKP）、链上取证工具和多方计算（MPC）钱包等安全创新，有望提升整体防护能力，并降低现有攻击方式的威胁。未来几个季度，将成为行业抗风险能力的关键考验期。07 Top 3 安全事件分析1. Bybit安全事件：14.5亿美元被盗2. Phemex安全事件：7,171万美元被盗2025年2月21日，Bybit交易所遭遇了Web3.0历史上最大的攻击事件，其以太坊冷钱包遭到攻击，约14.5亿美元资产被盗。攻击者通过入侵Safe{Wallet}开发者设备，操控交易审批流程，从而实施攻击。攻击者利用伪装交易，诱骗Bybit多重签名钱包的签署者在不知情状态下批准了恶意合约升级，从而获得转移钱包资金的控制权。早在攻击发生前，攻击者便部署了后门合约，通过篡改GnosisSafe合约的实现地址，绕过安全防护。取得控制权后，攻击者将大量ETH及其他资产转移至其他由攻击者控制的钱包。Bybit首席执行官Ben Zhou证实，攻击者利用Safe{Wallet}用户界面显示合法交易信息，同时向Ledger硬件钱包发送篡改后的数据请求签名，成功欺骗了多签签名者。此次攻击揭示了盲签操作的风险，凸显了加强安全协议的迫切需求，例如更严格的终端安全防护、专用签名设备，以及用户界面以外的交易验证机制等措施。2025年1月23日，中心化交易所Phemex遭遇私钥泄露攻击，损失约7,171万美元。攻击者通过获取Phemex的热钱包权限，盗走了以太坊、比特币、XRP和Solana等多种加密货币。这次攻击与Lazarus黑客组织相关，该组织将从Bybit攻击中窃取的资金转移至与Phemex攻击相关联的地址。3. 0xInfini安全事件：4,951万美元被盗2025年2月24日，0xInfini发生安全事件，损失约4,951万美元。攻击者利用与Infini合约开发相关联的钱包中保留的管理员权限，操控合约，使自己能够赎回所有Vault代币。这次攻击源于一项管理员权限级别的漏洞，允许攻击者将自己的地址列入白名单，并执行未经授权的赎回操作。攻击者最初使用Tornado Cash为其钱包提供资金，随后将盗取的USDC在Uniswap上换成DAI，再进一步转换成17,696枚ETH，并转移到另一独立地址。这起事件凸显了管理员权限在智能合约安全中可能成为单点故障的风险。 08 延伸阅读科普文章以下是我们精选的发布于2025年第一季度的科普文章和事件分析，旨在提高链上生态系统在安全性、透明度和教育方面的标准。随着CIP-113逐步推进至最终定案，CertiK正在密切关注其进展。这一里程碑或将重塑开发者的构建方式，以及企业与Cardano生态的互动模式。本文将深入解析该提案的技术规范，包括其背景、所解决的问题、实现方式、对Cardano生态的影响、与ERC-20的对比，以及安全注意事项。2025年1月，Uniswap V4正式在以太坊主网上线，标志着去中心化金融（DeFi）领域的一次重大进步。Uniswap V4最显著的创新之一是引入了“Hooks”机制，允许开发者在Uniswap基础上构建自定义逻辑，从而无需修改Uniswap V4核心合约即可实现新应用的拓展。然而，这种设计上的灵活性也带来了新的潜在攻击面。本文探讨了Uniswap V4的部分新特性，并深入分析与其Hooks机制相关的安全风险。鉴于钓鱼攻击的激增，学习如何更好地保护加密货币资产对所有Web3.0参与者至关重要。本文解析了避免钓鱼攻击的策略，并列举了应警惕的常见陷阱。在Web3.0领域，新代币层出不穷。你是否想过每天有多少新代币被发行？更重要的是，这些新代币是否安全？本报告详细披露了我们针对Rug pull事件、其背后团伙及常见欺诈模式的研究。通过这项研究，CertiK旨在帮助所有Web3.0参与者提高警惕，防范不断升级的诈骗手段，并采取必要措施保护资产安全。A “Long Overdue” innovation in Cardano: InteroperableProgrammable Token DesignUniswap V4: Hooks Security Considerations守护资产，防范风险 | 2025年Web3.0资产安全指南明暗交织：揭秘以太坊代币生态乱象 09 安全事件分析延伸阅读2025 年3月25日，MIM Spell因RouterOrder合约与Cauldron合约集成中的漏洞遭遇攻击，损失6,261.13 ETH（约1,290万美元）。攻击者利用该漏洞反复借款并清算自身，在未偿还的情况下继续借款。其根本原因在于清算流程未能正确覆盖RouterOrder记录，这些记录仍被视为抵押，使攻击者在清算后能够虚假借入额外资金。2025年2月24日，0xInfini遭受攻击，导致约4,900万美元损失。攻击中使用的关键钱包曾参与Infini合约开发，并保留了用于赎回所有Vault代币的管理员权限。2025年2月21日，Bybit的以太坊冷钱包因恶意合约升级被盗取资金。攻击者设法获取了三个有效签名，授权了一笔交易，将Safe多签钱包的实现合约替换为恶意合约，从而盗取钱包资金。这次漏洞导致约14.5亿美元损失，成为Web3.0历史上最大规模的安全事件。2025年1月25日，攻击者利用XPEPE代币的TokenStaker合约漏洞，导致代币价格暴跌99%。根本原因在于提取质押代币时未撤销原先的授权额度，使得攻击者能通过transferFrom()方法在每次提取质押后额外获得100%的代币。Magic Internet Money Incident Analysis0xInfini Incident AnalysisBybit事件技术分析XPEPE Token Incident Analysis 10 CertiK全周期产品与服务CertiK为行业提供全周期产品和服务。产品链跨越从初创、成长到扩张、成熟的全生命周期，支持Web3.0企业和生态的长期发展战略。CertiK Ventures是CertiK的风险投资部门，2024年5月成立，一期注资4500万美元，旨在通过战略投资和安全解决方案支持Web3.0和区块链领域的创新项目。Compliance / AML：提供实时交易监控、反洗钱/反恐融资（AML/CTF）合规解决方案和风险分析，确保虚拟资产服务提供商（VASP）满足监管要求。团队验证是一项专为Web3.0生态系统设计的身份验证和尽职调查服务，为加密项目团队提供强有力的第三方验证，帮助其与社区和投资者建立信任，并在不泄露项目团队隐私的前提下促进透明度。CertiK团队验证榜则根据项目所获取的CertiK团队验证徽章状态进行公示和排名。已通过严格背景调查的项目团队将获得CertiK团队验证徽章，CertiK将根据项目团队提供的可验证信息和信息等级授予其团队验证黄金徽章、白银徽章或青铜徽章。CertiK安全审计服务采用行业领先的审计方法和安全工具，结合形式化验证技术、AI技术以及专业安全团队的人工审计，为开发者提供代码安全保障，服务范围覆盖以太坊、BNBChain、Pol