2025年Web3区块链安全态势年报

Web3区块链安全态势年报 ONTENTSONTENTSONTENTSONTENTSONTENTSONTENTS 一、2025年 Web3区块链安全态势及反洗钱分析 011.2025年 Web3区块链安全态势综述022.2025年十大攻击事件043.被攻击项目类型054.各链损失金额情况065.攻击手法分析076.典型安全事件攻击分析117.反洗钱典型案例分析168.2025年 Web3 区块链安全态势总结 二、护航区块链生态安全 171.Beosin为Web3区块链生态保驾护航182.区块链生态安全联盟介绍193. CONTACT US Ɋᔋ 本研究报告由区块链安全联盟发起，由联盟成员Beosin、Footprint Analytics共同创作，旨在全面探讨2025年全球区块链安全态势。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。区块链安全和监管是Web3时代发展的关键问题。通过本报告的深入研究和探讨，我们可以更好地理解和应对这些挑战，以推动区块链技术的安全性和可持续发展。 *数据截止于2025年12月24日 2025年Web3区块链安全态势及反洗钱分析一、 1.12025年 Web3区块链安全态势综述 据区块链安全与合规科技公司 Beosin 旗下 Alert 平台监测，2025 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 33.75 亿美元。区块链重大安全事件共313起，其中黑客攻击事件 191 起，总损失金额约 31.87 亿美元；项目方 Rug Pull 事件总损失约 1150 万美元；钓鱼诈骗 113 起，总损失金额约 1.77 亿美元。 2025年Q1损失金额最为惨重，绝大部分损失来自Bybit的黑客事件。黑客攻击的损失金额随季度持续下降，但较2024年有大幅上升，增幅为77.85%；钓鱼诈骗与项目方 Rug Pull 事件的损失金额较 2024 年均显著下降，其中钓鱼诈骗的金额损失降幅约为69.15 %，Rug Pull的金额损失降幅约92.21%。 2025年被攻击的项目类型包括DeFi、CEX、公链、跨链桥、NFT、Memecoin交易平台、钱包、浏览器、第三方代码包、基础设施、MEV机器人等多种类型。DeFi 依然为被攻击频次最高的项目类型，91 次针对 DeFi 的攻击共造成损失约6.21亿美元。CEX为总损失金额最高的项目类型，9次针对 CEX 的攻击共造成损失约17.65亿美元，占总损失金额的 52.30%。 2025年 Ethereum 依旧是损失金额最高的公链，170次 Ethereum 上的安全事件造成了约22.54 亿美元的损失，占到了全年总损失的 66.79%。 从攻击手法来看，Bybit事件因供应链攻击造成约14.40亿美元的损失，占总损失的42.67%，是造成损失最多的攻击方式。除此之外，合约漏洞利用是出现频次最高的攻击方式，191起攻击事件里，有62次来自于合约漏洞利用，占比达到了32.46%。 1.22025年十大攻击事件 2025年共发生损失过亿的安全事件3起：Bybit（14.40亿美元）、CetusProtocol（2.24亿美元）与Balancer（1.16亿美元）。与往年不同的是，今年前10大安全事件中出现了2起个人用户的巨额损失，其损失原因为社会工程学/钓鱼攻击。虽然此类攻击并非造成损失金额最大的攻击手段，但其攻击频次每年呈上升趋势，成为个人用户面临的一大威胁。 BybitNo.1 损失金额：14.40 亿美元攻击方式：Safe钱包前端被篡改链平台：Ethereum 2025年2月21日，加密货币交易所 Bybit 遭遇攻击，其 Safe 多签钱包约14.4亿美元资金被盗。黑客通过入侵 Safe 的服务器植入了恶意代码，替换了正常的交易请求，导致签名者在不知情的情况下签署了被篡改的交易。 Cetus ProtocolNo.2 损失金额：2.24 亿美元攻击方式：合约漏洞链平台：Sui 2025年5月22日，Sui 生态上的DEX Cetus Protocol被攻击，其漏洞源于对开源库代码中左移运算的实现错误。随后在 Sui 基金会及其它生态项目合作下，已成功冻结了在 Sui 上的 1.62 亿美元的被盗资金。 BalancerNo.3 损失金额：1.16 亿美元攻击方式：合约漏洞链平台：Ethereum 2025 年11月3日，Balancer v2协议遭到攻击，包括其 fork 协议在内的多个项目在多条链上损失约 1.16 亿美元。攻击者通过操纵 Balancer 的 LP Token 价格实现获利。 Stream FinanceNo.4 损失金额：9300 万美元攻击方式：挪用用户资产 链平台：Ethereum 2025年11月 4日，Stream Finance宣布其协议的外部基金管理人造成了约9300万美金的损失，即日起暂停所有存取款功能。经调查，10月10日 - 11日，因市场暴跌，该外部基金管理人的仓位亏损，直接挪用了Stream Finance资金填补亏空，最终爆仓。 个人用户No.5 损失金额：9100 万美元攻击方式：社会工程学链平台：Bitcoin 2025年8月19日，据ZachXBT报道，一名个人用户受到社会工程学攻击，损失783个BTC（价值约9100万美元），攻击者通过冒充交易所和硬件钱包的客服人员诱骗受害者转移资产。 NobitexNo.6 损失金额：9000 万美元攻击方式：暂未明确链平台：多链 2025 年6月18 日，伊朗最大加密交易所Nobitex发布公告称遭遇黑客攻击，损失超9000万美元，涉及BTC、ETH、Doge、XRP、SOL、TRX和TON等多种加密货币。一个名为“Gonjeshke Darande”的亲以色列组织已宣布对此次攻击负责，并将此次袭击定性为针对伊朗加密基础设施的打击。 PhemexNo.7 2025 年1月23日，总部位于新加坡的加密货币交易所 Phemex 热钱包中约 7000 万美元的加密资产被盗，涉及ETH、SOL、BTC、BNB、USDT等多种加密资产。 UPCXNo.8 损失金额：7000 万美元攻击方式：访问控制漏洞链平台：Ethereum 2025 年4月1日，UPCX由于未经授权的访问损失了价值约7000万美元的代币。黑客升级了UPCX的ProxyAdmin合约，随后执行了一个允许管理员提取资金的功能，导致资金从三个不同的管理账户中被转移。 个人用户No.9 损失金额：5000万美元攻击方式：钓鱼攻击链平台：Ethereum 2025 年12月20日，一个以太坊地址遭受“地址投毒”攻击，损失金额5000万美元。受害者在完成转账测试后，攻击者随即生成了尾号相似的地址进行转账，受害者因为没有仔细检查转账地址而将其5000万USDT转入至攻击者的地址。 InfiniNo.10 损失金额：4950 万美元攻击方式：权限管理漏洞链平台：Ethereum 2025年2月24日，Infini被盗4950万美元，其原因为内部一开发人员通过欺骗团队秘密保留了合约管理权限，通过升级合约盗走资金。 1.3被攻击项目类型 中心化交易所成为损失金额最高的项目类型 2025年损失最高的项目类型为中心化交易所，9 次针对中心化交易所的攻击共造成了约 17.65 亿美元的损失，占总损失金额的52.30%。其中损失金额最大的交易所为Bybit，损失约14.4亿美元。其余损失金额较大的有Nobitex（损失约9000万美元）、Phemex（损失约7000万美元）、BtcTurk（4800万美元）、CoinDCX（4420万美元）、SwissBorg（4130万美元）、Upbit（3600万美元）。 DeFi 为被攻击频次最高的项目类型，91 次针对 DeFi 的攻击共造成损失约 6.21 亿美元，排在损失金额的第二位。其中CetusProtocol被盗约 2.24 亿美元，占DeFi被盗资金的 36.07 %，Balancer损失约 1.16 亿美元，其余损失金额较大的DeFi项目有Infini（约4950万美元）、GMX（约4000万美元）、AbracadabraFinance（1300万美元）、CorkProtocol（约1200万美元）、Resupply（约960万美元）、zkLend（约950万美元）、Ionic（约880万美元）、Alex Protocol（约837万美元）。 1.4各链损失金额情况 Ethereum为损失金额最高、安全事件最多的链 和往年相同的是，Ethereum 依旧是损失金额最高、安全事件发生次数最多的公链。170 次 Ethereum 上的安全事件造成了约22.54 亿美元的损失，占到了全年总损失的 66.79 %。 安全事件次数排名第二的公链为 BNB Chain，64次安全事件共造成了约 8983 万美元的损失。BNB Chain的链上攻击次数多，损失金额相对较小，但相比2024年，发生安全事件的次数与损失金额均大幅增加，损失金额增加110.87%。 Base为安全事件次数排名第三的区块链，共计20次安全事件。Solana以19次安全事件紧随其后。 1.5攻击手法分析 合约漏洞利用是出现频次最高的攻击方式 191 起攻击事件里，有 62 次来自于合约漏洞利用，占比达到了 32.46 %，造成的总损失达5.56亿美元，是除Bybit因供应链攻击外，损失金额最大的一类攻击手段。 按照合约漏洞细分，造成损失最多的漏洞为：业务逻辑漏洞，共计损失金额为4.64亿美元。出现次数前三名的合约漏洞为业务逻辑漏洞（53次）、访问控制漏洞（7次）、算法缺陷（5次）。 今年私钥泄露事件共计20次，总损失金额约1.80亿美元，发生次数与造成的损失相比于去年大幅减少。可见交易所、项目方以及用户对私钥的保护意识有所提升。 1.6典型安全事件攻击分析 1.6.1 Cetus Protocol 2.24亿美元安全事件分析 2025 年 5 月 22 日，Sui 生态上的DEX Cetus Protocol被攻击，其漏洞源于开源库代码中左移运算的实现错误。以其中一笔攻击交易 (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) 为例，简化的攻击步骤如下： 1. 启用闪电贷：攻击者通过闪电贷借入 1000 万 haSUI。2. 创建流动性仓位：开设一个新的流动性仓位，其价格区间为 [300000, 300200]。3. 增加流动性：仅使用 1 个单位的 haSUI 增加了流动性，但获得了高达 10,365,647,984,364,446,732,462,244,378,333,008的流动性值。4. 移除流动性：立即移除多笔交易中的流动性，以耗尽流动性池。5. 偿还闪电贷：偿还闪电贷并保留约570万SUI作为利润。 漏洞分析 本次攻击的根本原因在于get_delta_a函数中的checked_shlw实现错误，导致溢出检查失败。攻击者仅需要少量代币，就能在流动性池中兑换出大量资产，从而实现攻击。 如下图所示， checked_shlw用于判断 u256 数左移 64 位是否会导致溢出，小于0xffffffffffffffff << 192 的输入值会绕过溢出检测，但输入值在在左移 64 位后可能会超出 u256 最大值（溢出），而checked_shlw仍会输出未发生溢出（false）。这样一来，在后续计算中就会严重低估所需的代币数量。 此外，在 Move 中，整数运算的安全性旨在防止溢出和下溢，因为溢出和下溢可能导致意外行为或漏洞。具体来说：如果加法和