您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [CertiK]:2025年第二季度及上半年HACK3D Web3安全报告 - 发现报告

2025年第二季度及上半年HACK3D Web3安全报告

信息技术 2025-07-01 CertiK 在路上
报告封面

Web3安全季度报告 2025Q2+H1 提升您的Web3之旅 目录 执行摘要 2025年第二季度 2025年第二季度,共有14,461万美元损失,涉及144起事件。与上一季度相比,损失金额约减少了52.1%。此外,本季度的事件数量也比上一季度少了59起。 2025年第二季度,网络钓鱼是最昂贵的攻击途径,涉及52起事件,总计窃取了3.95亿美元。 随后出现代码漏洞,涉及47起事件,总计窃取资金2.35783844亿美元。 以太坊遭遇了最多的安全事件,共发生70起黑客攻击、诈骗和漏洞利用事件,导致损失高达65370264美元。 已退回的资金总额为1.8095亿美元,导致本季度调整后总损失为6.2036亿美元。 然而,黑客以更大规模针对比特币,窃取了3.736亿美元。 每起事件的平均损失为4,308,091美元,中位数损失为103,996美元。 2025年上半年 2025年上半年,共有344起事件导致损失总额达247.2777亿6178美元。 2025年上半年,钱包妥协是最昂贵的攻击途径,涉及34起事件,总计窃取了17.069亿美元。 网络钓鱼是造成损失第二严重的事件,涉及132起安全事件,总计损失410,747,038美元。截至目前,网络钓鱼是目前年度安全事件数量最多的类型。 以太坊遭遇了最多的安全事件,共有175起黑客攻击、诈骗和漏洞利用事件,导致损失高达16亿349万8818美元。 已退回资金总额为1.873413亿美元,导致2025年第一季度调整后总损失为22.854363亿美元。 每起事件的平均损失为7,129,980美元,中位数损失为89,026美元。 Statistics and Graphs:(Q2 2025) Statistics and Graphs:(Q2 2025) Q2 顶部10起事件(不包括网络钓鱼攻击): 返还款项总额为1.8095亿美元,导致本季度调整后总损失为6.2036亿美元。 每起事件的平均损失为4,209,024美元,中位数损失为103,996美元。 Statistics and Graphs:(H1 2025) Statistics and Graphs:(H1 2025) H1 顶部10起事件(不包括网络钓鱼攻击): 返还款项总额为1.873413亿美元,导致2025年H1调整后总损失为22.854363亿美元。 每起事件的平均损失为7,129,980美元,中位数损失为89,026美元。 概述 2025年上半年,由于黑客攻击、诈骗和漏洞利用,加密货币行业已损失超过24.7亿美元——其中仅2025年第二季度就发生了8.01亿美元。这一数字已使2025年的损失总额超过2024年的24亿美元。若排除白帽黑客返还的资金或交易所冻结的资金,2025年至今的净损失已达22.9亿美元,已超过2024年全年的19.8亿美元净损失。 尽管头条新闻显示安全形势正在恶化,但值得注意的是,仅比特刀和Cetus协议这两起事件就占用了今年约17.8亿美元的损失。如果没有这些事件,2025年的总损失将高达6.9亿美元,这表明整体趋势可能并不像原始数据所暗示的那样严重。 就攻击向量而言,私钥泄露——这是2024年的一个主要问题——自2025年上半年以来持续下降。 代码漏洞总体保持相对稳定,事件数量接近历史平均水平。一个显著的例外是Cetus协议遭受的攻击,该事件导致了本季度较严重的损失之一。 然而,网络钓鱼攻击却急剧增加。第二季度因网络钓鱼损失的资金超过了去年同期,总额达3.95亿美元——使其成为本季度最昂贵的攻击途径。随着网络钓鱼活动日益狡猾,用户养成强大的安全习惯至关重要:避免点击未知链接,双重检查域名真实性,启用多因素认证,并考虑使用硬件钱包进行密钥存储。 除安全事件外,2025年第一季度还标志著重大全球监管和市场发展,这些发展将塑造该行业的未来: 美国通过第14178号行政命令撤销了先前的数字资产政策,禁止任何形式的政府发行央行数字货币,并引入了新的监管框架。 战略比特币储备在美国建立,动用没收资产形成主权加密货币持有。 欧盟的MiCA法规全面生效,为稳定币发行和加密资产服务提供商提供了明确指引。 香港通过稳定币立法,要求发行者获得许可并建立赎回机制。 ↗印度宣布计划发布一份关于数字资产监管的政策文件。 巴基斯坦启动了其首个比特币储备,并配套建设了能源基础设施以支持加密货币挖矿。 圆圈公司启动了其首次公开募股,同时泰达币在拉丁美洲加大投资,拓展了与商品挂钩的稳定币应用。 这些发展共同表明,机构兴趣日益浓厚,监管环境也日趋成熟。随着新的资本和参与者涌入该领域,维护严格的安全标准将比以往任何时候都更加重要。 Q2 前三起事件分析 1. 网络钓鱼受害者(bc1qxjp):被盗金额 3.3 亿美元 根据研究员ZachXBT的说法,一名比特币巨鲸在2025年4月成为了一次社会工程攻击的目标,导致约3.3亿美元损失。攻击者通过六个即时交易所洗钱,并将被盗的比特币兑换成门罗币(XMR)。自初次曝光以来,在ZachXBT和币安的帮助下,已有超过700万美元被冻结,并已确定两名嫌疑人。 2. Cetus:$225,680,719.90stolen 2025年5月22日,Sui区块链上最大的去中心化交易所(DEX)Cetus Protocol遭遇重大安全漏洞,导致价值约2.25亿美元的多个数字资产被盗。攻击者利用了该协议智能合约架构中的漏洞,具体针对的是流动性池机制。 通过部署虚假代币并操纵价格曲线,黑客成功从该平台提取了大量资金。幸运的是,Sui验证者根据一项用户还款的治理提案,成功冻结并追回了被盗资产中的1.62亿美元。 3. Nobitex:$89,142,954.89stolen 2025年6月18日,Nobitex宣布其系统遭到未经授权的访问,导致近1亿美元损失。以支持以色列黑客团体Gonjeshke Darande(又名“掠夺性麻雀”)声称对此次事件负责,并发布了用于攻击的钱包截图。所有资金均被发送至“虚荣地址”并销毁,支持这是一次纯粹的黑客行动理论。 进一步阅读(博客、案例分析) 以下是我们在2025年第二季度发布的一部分教育博客和事件分析,作为我们提升链上生态系统安全、透明度和教育标准的使命的一部分。 博客 私钥,公共风险 私钥是区块链基础设施的密码学支柱。它们通过使用私钥签署交易来证明钱包地址的所有权以及对资产的控制权。然而,尽管私钥至关重要,但它们常常被不当管理,以明文形式存放,存储在不安全的环境中,加密方式不安全,熵值过低,或由单一人员控制。本博客探讨了围绕私钥生成、存储、使用等方面的安全考量,以及为何正确处理这些各个阶段对于保护您的 Web3项目至关重要。 面向Solidity开发者:代币标准II——高级可替代代币扩展 基于我们先前对Solidity、Sui Move和Aptos Move中基础代币功能的分析,本报告着重探讨可替代代币的高级特性。我们具体研究这些平台如何实现可替代代币标准,包括白名单/黑名单、费用机制、暂停以及白名单/黑名单等扩展功能。 阈值密码学II:去识别性在去中心化FROST实现中 我们阈值密码学系列文章的第二篇探讨了在《FROST:灵活轮次优化Schorr阈值签名》(FROST:Flexible Round-Optimized Schnorr Threshold Signatures)[1]中提出的FROST阈值签名协议,并指出了在去中心化环境中实现该协议时出现的一个潜在问题。该问题允许恶意参与者发送不一致的nonce承诺,从而导致诚实参与者被错误地指控行为不当。 以太坊虚拟机——宇宙融合研究从安全基地:第二部分 本博客系列的第二部分介绍了一种通过 EVM 交易与 Cosmos 交互的新方法。具体而言,它详细介绍了专门设计的预编译合约的工作流程,旨在克服功能限制,并在两个生态系统之间建立连接。 自制裁解除以来龙卷风现金的使用方式有何变化 曾一度是加密货币隐私辩论的焦点,Tornado Cash 最近再次成为关注中心——但这次背景截然不同。2025 年 3 月,美国财政部解除了对基于以太坊的混合服务的制裁,在数年监管审查后,这标志着一个戏剧性的政策逆转。在本篇博客中,我们将探讨 Tornado Cash 的工作原理、其制裁的历史以及制裁解除后其使用方式的转变。 门限密码学I:分布式密钥生成 本篇介绍了分布式密钥生成(DKG),它允许多个参与者共同生成一个密钥,而无需重构完整的密钥,从而增强了安全性和容错能力。它是去中心化共识、安全多方计算和阈值签名的基础。 面向Solidity开发者:代币标准I 在本篇中,我们讨论了基础代币标准在这些平台上的实现方式,重点仅限于铸造、销毁和转移功能。暂停、白名单和冻结等高级功能将在后续系列中详细讨论。 PancakeSwap Infinity:钩子(Hooks)安全注意事项 钩子使第三方开发者能够构建 PancakeSwap 之上的各种应用。这种模块化架构使得在不进行完整协议升级的情况下,集成不断发展的 AMM 范式更加容易。本文讨论了 PancakeSwap Infinity 的一些新功能,并探讨了与 PancakeSwap Infinity 钩子相关的安全考量。 佩特拉的EIP-7702:重新定义EVM中外部拥有的账户(EOA)的信任假设 在本篇博文中,我们探讨了EIP-7702如何重塑EVM的核心假设,指出了被嘲讽的示例,并为开发者提供了可操作的指导,以评估他们现有的合约是否可能存在漏洞。 奥术战争:价格操纵攻击的兴起 本文旨在探讨预言机的工作原理、其重要性、如何被利用等问题,旨在教育DeFi参与者如何更好地保护自己免受此类威胁。 面向 Solidity 开发者 I:存储与访问控制 “面向Move开发者”系列是为那些对Move有一定了解的Solidity经验开发者创建的。它旨在帮助你从编写Solidity合约转向在基于Move的区块链(如Aptos和Sui)上开发。在本系列第一部分中,我们探讨了Move在状态存储和访问控制方面的方法与Solidity/EVM模型有何不同。通过比较和类比,我们力求让这些新概念显得更加熟悉。 以太坊虚拟机——宇宙融合研究从安全基地:第一部分 以太坊和Cosmos是两个著名的区块链协议,它们长期以来一直通过构建在Cosmos SDK上的EVM兼容链(例如evmos/Ethermint)等解决方案来寻求整合,随后在EVM兼容链中出现了新兴的共识层(CL)交换(例如用于以太坊PoS的Tendermint替代方案)。本系列将剖析其技术方法及相关安全权衡,深入探讨这些生态系统的融合。 进一步阅读(博客、案例分析) 事件分析 软木协议事件分析 2025年5月28日,与资产挂钩的保险协议CorK Protocol遭遇了约120万美元的安全漏洞。攻击者利用参数检查的缺失建立了一个虚假市场,并利用其AMM扩展(CorkHook)相对开放的访问权限,在两个市场上诱发了衍生代币weETH8DS-2的双重计算。随后,攻击者获取了大量衍生品,并兑换了3,761 wstETH。 莫比乌斯代币事件分析 2025年5月11日,我们的系统检测到在币安智能链(BSC)上针对Mobius代币(MBU)发生了一起可疑攻击,导致约216万美元的损失。此次针对MBU的攻击发生在该代币于5月8日由0x18027eF7CC0e7dCe85120f69D0B91B4F4c9E07Bf提供资金后的仅仅三天。 科瑞特的全程生命周期服务 作为最大的 Web3 安全服务提供商,CertiK 提供一系列涵盖开发全生命周期的产品和服务——从孵化及早期阶段到成长与成熟阶段——支持行业、项目团队及 Web3 用户。 CertiK Ventures是CertiK的风险投资部门,于2024年5月