全球 Web3 安全报告 确保区块链生态系统安全 目录 I. 2025年H1全球Web3安全报告 01 2025年上半年全球Web3安全概览012. 2025年上半年攻击事件概述023. 按项目类型划分的损失034. 串联损失045. 攻击类型分析056. 资产非法流动分析067. 摘要06 II. 保障区块链生态系统 07 贝奥斯安产品072. 关于区块链安全联盟083. 联系我们09 前言 本研究报告由区块链安全联盟发起,并由联盟成员Beosin和Footprint Analytics联合撰写。旨在全面探讨2025年上半年全球区块链安全格局。通过分析评估全球区块链安全现状,报告揭示了所面临的挑战与威胁,并提出了解决方案和最佳实践。 I.2025年H1全球Web3安全报告 数据图表可在此处查看(数据截至6月27日):https://www.footprint.network/@Beosin/Footprint-Beosin-H1-2025-Web3-Security-Report 2025年上半年全球Web3安全概览 根据Beosin警报,2025年上半年由于黑客攻击、网络钓鱼诈骗以及项目团队进行的“拔 rug”(Rug Pull),Web3领域的总损失约为21.38亿美元。其中,90起重大攻击事件导致总损失约20.93亿美元;“拔 rug”造成的损失约为320万美元;网络钓鱼诈骗导致损失约4138万美元。 从目标项目类型来看,交易所遭受了最大损失。针对交易所平台的六次攻击导致损失超过15.91亿美元,占所有攻击相关损失总额的74.4%。 从链损失角度来看,以太坊仍然是损失最高且遭受攻击事件最多的链。针对以太坊的81次攻击造成了17.39亿美元的损失,占总损失的81.3%。由于海王星协议事件,Sui位列第二,该事件造成的损失约为2.24亿美元。 从攻击手段来看,针对合约漏洞的攻击在上半年最为频繁,共发生63次,造成4.08亿美元损失。币安链因钱包基础设施缺陷损失14.4亿美元,占总攻击损失的比例为67.4%,是造成损失比例最高的攻击类型。 从资金流动的角度来看,被盗资金中只有一小部分(约2.38亿美元)被冻结或追回。约71.2%的被盗资金仍滞留在链上钱包中,尚未转入交易所或混币器。 2. 2025年上半年攻击事件概述 90起主要袭击事件造成了20.93亿美元的损失。 2025年上半年,Beosin Alert监测到Web3领域发生90起重大攻击事件,总损失达20.93亿美元。其中,两起安全事件损失超过1亿美元,七起事件损失在1000万至1亿美元之间,18起事件损失在100万至1000万美元之间。 超过1000万美元损失(按金额排序)的袭击事件: Bybit - 14.4亿美元 攻击方法:安全钱包前端篡改 链:以太坊 2月21日,加密货币交易所Bybit遭到攻击,其Safe多重签名钱包被盗,约14.4亿美元被窃。黑客入侵了Safe的服务器并植入恶意代码,替换了合法的交易请求,导致签名者不知情地批准了被篡改的交易。 鲸鱼协议 - 2.24亿美元 攻击方法:合约漏洞 链:Sui 5月22日,由于一个开源库中左移操作的实现错误,Sui生态系统中的DEX Cetus协议遭到攻击。在Sui基金会及其他生态项目的协作下,成功冻结了Sui上被盗的1.62亿美元资金。 诺比特克斯 - 9000万美元 攻击方法:不明确链:多链 6月18日,伊朗最大加密货币交易所Nobitex宣布遭到黑客攻击,损失超过9000万美元,涉及比特币(BTC)、以太坊(ETH)、狗狗币(Doge)、瑞波币(XRP)、索拉币(SOL)、波场币(TRX)和吨币(TON)等加密货币。一个名为“Gonjeshke Darande”的亲以色列组织声称对此次攻击负责,将其描述为对伊朗加密基础设施的打击。 Phemex - 700万美元 攻击方法:私钥泄露 链:多链 1月23日,总部位于新加坡的加密货币交易所Phemex约损失了7000万美元的加密资产,这些资产来自其热钱包,涉及ETH、SOL、BTC、BNB、USDT等加密货币。 UPCX - 700万美元 攻击方法:访问控制漏洞链:以太坊 4月1日,UPCX因遭未经授权的访问而损失约7000万美元的代币。黑客升级了UPCX的ProxyAdmin合约,并执行了一个允许管理员提取资金的函数,导致资产从三个不同的管理账户被转移。 ●Infi - 4950万元 攻击方法:访问控制漏洞链:以太坊 2024年2月24日,Infini公司被内部开发者秘密窃取了4950万美元。该开发者保留了合同管理权限,并将合同升级以盗取资金。 Abracadabra Finance - 1300万美元 攻击方法:合约漏洞链:以太坊 3月25日,去中心化借贷协议Abracadabra Finance因合约漏洞损失了约6,262 ETH(约合1300万美元)。 瓶塞协议 - 1200万美元 攻击方法:合约漏洞链:以太坊 5月28日,基于以太坊的锚定资产协议Cork Protocol遭到攻击。攻击者利用该项目合约中的一个逻辑漏洞(未验证的关键参数)获利1200万美元。 BitoPro - 115万美元 攻击方法:私钥泄露 链:多链 6月2日,加密货币交易所BitoPro确认遭到黑客攻击,表示在最近的钱包系统升级和资产转移过程中,其多个链上的热钱包出现了异常流出,总额约为1150万美元。 3. 按项目类型划分的损失 中心化交易所遭受了最大损失。 年上半年,集中式交易所是受攻击最严重的项目类型,六次攻击造成的损失超过15.91亿美元。其中损失最大的是Bybit(损失14.4亿美元)。其他重大损失包括Nobitex(损失9000万美元)、Phemex(损失7000万美元),以及对Noones、BitoPro和Coinbase的攻击。 第二类主要目标是去中心化金融(DeFi)。在这些项目中,Cetus 协议损失约2.24亿美元,占DeFi总损失的69.1%。其他受影响的知名DeFi项目还包括Abracadabra Finance(损失1300万美元)、Cork Protocol(损失1200万美元)、Resupply(损失960万美元)、zkLend(损失950万美元)、Ionic(损失880万美元)和Alex Protocol(损失837万美元)。 此外,加密支付领域发生了两起安全事件,导致约1.2亿美元的损失,在所有项目类型中位列第三。其他被攻击的项目类型包括浏览器、代币合约、跨链桥和Meme币发射平台。 4. 串联损失 以太坊损失最大,遭受攻击事件也最多。 与往年一样,以太坊仍然是损失最严重的公链。针对以太坊的81次攻击造成了17.39亿美元的损失,占总损失额的81.3%。 BNB 链在攻击频率上排名第二,共有 33 起事件导致约 4253 万美元的损失。虽然 BNB 链经历了多次链上攻击,但损失相对较小。然而,与去年同期相比,攻击次数和损失都显著增加,损失额增长了 357%。 阿利特鲁姆(Arbitrum)和基础(Base)分别位列第三和第四,损失分别为212万美元和130.5万美元。与去年同期相比,阿利特鲁姆攻击频率有所上升,但损失显著下降了71.8%,而基础攻击频率和损失均大幅增加,损失额增长了294%。 5. 攻击类型分析 70%的攻击利用了合约漏洞。 年上半年,有63次攻击利用了合约漏洞,造成408亿美元损失。除了Bybit因钱包基础设施缺陷造成的损失外,这是造成损失最高的攻击方式。与去年同期相比,私钥泄露造成的损失显著下降,但仍超过1.02亿美元。 分析合同漏洞,按损失金额排名前三的漏洞是:逻辑缺陷(3.56亿美元)、算法缺陷(2137万美元)和验证缺陷(1270万美元)。按发生频率排名前三的漏洞是:逻辑缺陷(45起)、访问控制漏洞(7起)和算法缺陷(5起)。 6. 资产非法流动分析 只有11.1%的被盗资产被冻结或追回。 根据 Beosin KYT 反洗钱平台分析,2025年上半年被窃资金中约有2.38亿美元(占11.1%)被冻结或追回。 被盗资金中约有9789万美元(4.6%)被转移至交易所。总计有2.78亿美元(13.0%)被发送至混合器:其中约1946万美元转入Tornado Cash,其余259亿美元转入其他混合器。与去年相比,2025年上半年通过混合器洗钱的海盗资金数量显著增加。 7. 摘要 与2024年上半年相比,2025年上半年因黑客攻击、网络钓鱼诈骗和项目团队“ rug pull ”(资金盘跑路)造成的总损失急剧上升,达到21.38亿美元。针对交易所和主流公链生态系统的攻击数量和损失总体增加,表明Web3安全形势依然严峻。 今年上半年最严重的攻击事件是Bybit事件,占总损失的大约67.4%。从项目类型来看,攻击涵盖了Web3的各个领域:交易所、DeFi、个人钱包、基础设施、代币合约、支付平台、浏览器和Meme币启动平台。所有Web3项目团队和个人用户都必须保持警惕,将私钥离线存储,使用多重签名钱包,谨慎使用第三方服务,并对特权员工进行定期安全培训。 被盗资产中只有一小部分被冻结或追回,这凸显了加强全球监管和反洗钱工作的必要性。今年上半年,黑客转移至交易所的资金比例有所下降,这可能是由于交易所加强了反洗钱措施,及时识别黑客活动,并与执法部门和项目团队合作冻结资金和进行调查所致。交易所、执法部门、项目团队和安全公司之间的合作已取得显著成效,促使黑客越来越多地转向混币器进行洗钱。 今年上半年发生的90起攻击事件中,仍有63起源于合约漏洞利用。项目团队被建议在上线前寻求专业安全审计。作为全球领先的区块链安全公司,Beosin致力于Web3生态系统的安全发展。Beosin已审计超过3000份智能合约和公链主网,是一家值得信赖的区块链安全公司,能够为项目团队提供全面的安全审计服务。 II.区块链生态安全 贝奥斯安产品 反洗钱和加密货币合规平台 凭借超过10亿个地址标签和恶意地址数据库,加密货币反洗钱(AML)和加密合规平台Beosin KYT,能够帮助虚拟资产服务提供商(VASP)建立了解您的交易(KYT)和风险评估能力。该系统分析海量链上交易以识别交易和地址类型,然后利用系统庞大的实体地址库和机器学习分析来评估高风险交易。Beosin KYT目前正为全球多个客户提供服务,以符合反洗钱(AML)法规。 尝试 Beosin KYT:https://kyt.beosin.com/ 加密货币追踪调查平台 贝奥斯因-追踪是一个结合大数据、人工智能及其他技术的加密货币基金追踪平台。它是为全球客户恢复丢失加密货币而设计的个性化调查工具。它已成功帮助客户追回超过1亿美元的被盗资产,其中包括流入混合器(例如:龙卷风现金)的资金。 尝试使用Beosin Trace:https://beosin.com/service/tracing 通过运用Beosin自主研发的形式化验证工具及全面的网络安全技术,我们为Web3项目提供安全审计服务。已审计超过3,000份智能合约,识别出超过85,000个漏洞。依托丰富的智能合约安全数据集,并借助AI大语言模型,我们训练出一种能够深度理解智能合约逻辑的智能模型,进一步增强了形式化验证工具VaaS在复杂业务合约中检测和验证安全问题的能力。 提供全面的尽职调查解决方案,Beosin的专业团队致力于协助您评估潜在风险和合规性,提供准确可靠的尽职调查报告,以助您做出明智决策。 2. 关于区块链安全联盟 区块链安全联盟由比欧斯因联合多家不同行业背景的单位共同发起,包括大学机构、区块链安全公司、行业协会、金融科技服务提供商等。首批联盟理事会成员包括比欧斯因、SUS