<!--StartFragment-->

前言

在数字经济浪潮中，Web3 区块链技术以其去中心化、透明化等特性，构建起全新的信任与价值流转体系。然而，随着 Web3 生态蓬勃发展，安全威胁如影随形，时刻冲击着这片新兴领域。今天，就让我们一同深入剖析 2025 年上半年 Web3 区块链的安全态势，洞察潜在风险，探寻应对之策。

<!--EndFragment-->

<!--StartFragment-->

一、2025上半年 Web3 安全综述

2025 年上半年，Web3 区块链领域发生重大安全事件 87 起，因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的经济损失达 22.9 亿美元，超过2024 年全年总和。其中，Rug Pull总损失金额约320万美元；钓鱼诈骗总损失金额约 4138 万美元。从上半年来看，2月和5月为损失峰值：2月因 Bybit 交易所被盗事件单月损失超 14.5 亿美元，5月 Cetus Protocol 攻击事件导致 2.23 亿美元损失。若剔除这两起极端事件，其余攻击事件的平均损失约为 350 万美元/起，显示行业基础安全风险仍在高位运行。

<!--EndFragment-->

<!--StartFragment-->

二、2025上半年安全事件回顾

2025 年上半年 Web3 安全事件呈现攻击手法专业化、损失规模集中化的特点。Bybit 和 Cetus Protocol 两起事件占总损失的 72%，凸显中心化交易所和 DeFi 协议的脆弱性。值得注意的是，智能合约漏洞（如权限控制、数学函数缺陷）仍是主要攻击入口，而跨链操作和预言机机制成为新型风险点。

安全事件回顾

1. Bybit 冷钱包攻击事件

• 损失金额：14.5 亿美元（约合 10.2 万枚 ETH）

• 攻击方式：钓鱼攻击 + 智能合约权限控制漏洞

• 事件详情：2月21日，Bybit 冷钱包在执行常规资金划转时，被篡改的前端代码将价值 14.5 亿美元的 ETH 转移至黑客控制的地址。攻击暴露了中心化交易所依赖第三方钱包工具的信任风险，以及静态资源托管的安全隐患。事件发生后，Bybit 暂停所有链上操作，启动资产冻结程序，并联合执法机构追踪资金流向。该事件不仅重创用户信任，还引发市场对多签机制安全性的广泛质疑。

2. Cetus Protocol 智能合约攻击事件

• 损失金额：2.23 亿美元（含 1.62 亿美元冻结资产）

• 攻击方式：数学函数溢出漏洞 + 闪电贷操纵

• 事件详情：5月22日，Sui 链上最大 DEX Cetus Protocol 遭攻击，黑客在数小时内抽干核心流动性池。攻击导致 SUI 价格暴跌 7%，相关 MEME 代币（如 Bulla）市值蒸发超 90%。Cetus 紧急冻结 1.62 亿美元资产，并悬赏 600 万美元赎回部分被盗资金，但仍有 6000 万美元资金通过跨链桥洗白。此次攻击揭示了新兴公链 DeFi 项目在复杂金融模型设计上的经验不足。

3. Nobitex 交易所攻击事件

• 损失金额：约 9000 万美元

• 攻击方式：网络间谍 + 私钥窃取

• 事件详情：6月18日，以色列关联组织针对伊朗最大加密货币交易所 Nobitex 发动攻击，通过窃取私钥转移用户资产。攻击可能涉及情报获取，以色列随后逮捕了三名涉嫌为伊朗从事间谍活动的人员，其中两人曾收取加密货币作为报酬。Chainalysis 指出，Nobitex 是伊朗受制裁加密生态的重要枢纽，此次事件凸显了地缘政治对 Web3 安全的影响。

4. UPCX 智能合约攻击事件

• 损失金额：约 7000 万美元

• 攻击方式：未授权合约升级

• 事件详情：4月1日，DeFi 协议 UPCX 因 ProxyAdmin 合约被未授权升级，攻击者调用 withdrawByAdmin 函数从三个管理账户转移 1840 万枚 UPC（价值 7000 万美元）。资金转移至 0xFf7 开头地址后未进一步操作，UPCX 团队确认事件并联合安全机构调查，但截至 6 月仍未追回资金。

5. Infini 权限漏洞事件**

• 损失金额：约 4950万美元

• 攻击方式：权限管理漏洞

• 事件详情：2月24日，前团队成员通过保留的管理权限直接修改合约参数，分两笔盗取资金池全部USDC（1145万+3806万），兑换为17,696 ETH后经混币器转移。Infini团队48小时内承诺全额赔付用户，并升级多签冷钱包系统，资金至今未追回。

6. Cork Protocol 合约漏洞事件

• 损失金额：约 1200万美元（3762枚wstETH）

• 攻击方式：合约逻辑漏洞（虚假市场操纵）

• 事件详情：5月28日，攻击者利用Cork Protocol的Depeg Swap机制漏洞，创建虚假市场并操控流动性，盗取3762枚wstETH（价值1200万美元），随后兑换为4530枚ETH。团队紧急暂停所有合约并展开调查，资金仍未追回。

7. zkLend 智能合约攻击事件

• 损失金额：约 850 万美元

• 攻击方式：整数溢出漏洞

• 事件详情：2月，Starknet 链上 DeFi 协议 zkLend 因 safeMath 库除法计算时的四舍五入漏洞，被攻击者重复提取流动性池资金，共盗走 3300 枚 ETH（约 850 万美元）。项目方曾提出 “保留 10% 资金作为白帽赏金” 的和解方案，但黑客未响应。最终 zkLend 向执法机构报案，并监控资金流向，但追回可能性较低。

<!--EndFragment-->

<!--StartFragment-->

三、2025上半年被攻击项目类型

2025 年上半年，Web3 领域的安全事件呈现出项目类型集中化、损失规模两极分化的特点。从攻击目标来看，加密货币交易所以绝对优势成为损失最高的领域，其次是DeFi 协议。

1. 中心化交易所（CEX）

• 损失金额：共 6次攻击，总损失 15.91亿美元，占全部攻击损失的 74.4%

• 最大事件：Bybit 被盗 14.4亿美元（Safe钱包前端被篡改）

• 其他案例：Nobitex（9000万美元）、Phemex（7000万美元）

2. DeFi协议

• 损失金额：约 3.24亿美元（占15.1%）

• 最大事件：Cetus Protocol（Sui生态DEX）损失 2.24亿美元

• 其他案例：Abracadabra Finance（1300万美元）、Cork Protocol（1200万美元）

3. 加密支付平台

• 损失金额：约 1.2亿美元（2起事件）

4. 其他类型（跨链桥、浏览器、Memecoin等）

• 单次损失较低，但攻击次数较多

<!--EndFragment-->

<!--StartFragment-->

四、2025上半年被攻击项目类型

智能合约漏洞

2025 年上半年，智能合约漏洞成为 Web3 安全最大威胁，占全部攻击事件的60%（12起），造成17.8亿美元损失（占比80%）。权限缺陷、数学溢出等代码问题频发，攻击者常通过钓鱼网站和签名诱骗等手段绕过风控。最严重的Bybit事件中，黑客利用钓鱼攻击结合合约权限漏洞，盗取 40.1 万枚 ETH（价值14.6亿美元），创下 Web3 史上单次攻击最高损失纪录，凸显了智能合约权限管理和多签机制的重大安全隐患。

钓鱼攻击

钓鱼攻击占 2025 年安全事件的 25%（超200起），造成 4 亿美元损失（16%）。攻击者通过虚假空投、高仿平台等社会工程手段窃取资产，单笔损失通常在 10-100 万美元。典型案例包括某 DeFi 项目 Discord 群组钓鱼事件，导致 230 万美元被盗，凸显用户防范意识仍需加强。

其他攻击手法

其他攻击手法（30起事件，占比15%）造成 3.2 亿美元损失，主要包括：

• 预言机操纵（如 KiloEx 损失 740 万美元）

• 跨链桥漏洞

• 社会工程攻击\ 典型案例为伊朗 Nobitex 交易所遭袭（ 8200万 美元），黑客窃取私钥后销毁资产，凸显国家层面安全威胁与跨链协议风险叠加。

<!--EndFragment-->

<!--StartFragment-->

五、2025 年上半年 Web3 区块链安全态势总结

2025 年上半年，Web3 区块链安全态势呈现出攻击事件频发、项目类型受影响广泛、攻击手法复杂多变的特点。加密货币交易所、DeFi 项目以及新兴 Web3 应用平台成为重灾区，智能合约漏洞利用和钓鱼攻击成为主要攻击手段，给行业带来了巨大的经济损失和信任冲击。

展望未来，Web3 区块链行业需要多方协同努力，共同应对安全挑战。项目方应加强智能合约的安全审计与测试，提升代码质量，完善安全防护体系；投资者需增强风险意识，谨慎对待各类投资项目，提高识别钓鱼等诈骗手段的能力；监管机构应进一步完善相关法规政策，规范行业发展，加大对违法犯罪行为的打击力度；同时，安全技术企业也应持续创新，研发更先进的安全防护技术与解决方案，为 Web3 区块链生态的健康发展保驾护航。唯有如此，Web3 区块链技术才能在安全的轨道上持续创新与发展，释放出更大的价值潜力。

<!--EndFragment-->

<!--StartFragment-->

官网：https\://noneage.com/

邮箱：support\@noneage.com

电话：15029229543

<!--EndFragment-->