慢雾月度安全报告：7月损失估计达1.47亿美元

概述

2025 年 7 月，Web3 安全事件造成的总损失估计约为 1.47 亿美元。根据 SlowMist 区块链被黑事件数据库（https://hacked.slowmist.io）的数据，记录了 13 起重大黑客事件，导致约 1.4 亿美元的损失，其中 4248 万美元被冻结或追回。这些事件涉及合约漏洞、供应链攻击和账户泄露。此外，根据反诈骗平台 Scam Sniffer 的数据，7 月份有 9143 名网络钓鱼受害者，总损失达 709 万美元。

https://dune.com/scam-sniffer/july-2025-scam-sniffer-scam-report

重大安全事件

CoinDCX

2025 年 7 月 19 日，链上调查员 ZachXBT 在其频道上发帖称：

“看起来印度中心化交易所 'CoinDCX' 可能在近 17 小时前被盗取了约 4420 万美元，但尚未向社区披露此事。”

不久之后，CoinDCX 联合创始人 Sumit Gupta 在 X 上回应称，被入侵的钱包是一个仅用于提供流动性的内部运营账户。他强调，客户资金安全地存储在冷钱包中，并未受到影响。交易和提款将很快恢复，攻击造成的所有损失将由 CoinDCX 的储备金承担。

https://x.com/smtgpt/status/1946597988660645900

7 月 31 日，FinanceFeeds 报道称，CoinDCX 的一名软件工程师因协助攻击而被捕。攻击者以高薪兼职工作为幌子，诱骗该工程师在其计算机上安装恶意软件。该恶意软件是一种复杂的键盘记录器，攻击者可以通过它获取登录凭据并访问 CoinDCX 的内部系统，最终导致了该事件。

GMX

2025 年 7 月 9 日，SlowMist 的 MistEye 安全监控系统检测到一起针对去中心化交易所 GMX 的漏洞利用，导致超过 4200 万美元的损失。根据 SlowMist 安全团队的说法，攻击者利用了两个设计缺陷：

1. Keeper 系统在订单执行期间启用杠杆。
2. 全局平均空头价格会在空头头寸上更新，但在平仓时不会更新。

通过重入攻击，攻击者创建了大量的空头头寸，并操纵了全局平均空头价格和全局空头未平仓头寸。这人为地抬高了 GLP 的价格，使攻击者能够赎回获利。完整技术分析：Inside the GMX Hack: $42 Million Vanishes in an Instant。

https://x.com/SlowMist_Team/status/1942949653231841352

7 月 11 日，GMX 在 X 上发布声明，确认该事件源于 GMX V1 代码库中的一个漏洞。该漏洞现已披露并已通知所有 GMX V1 分叉。GMX 还向帮助解决该问题的白帽黑客奖励了 500 万美元的赏金。攻击涉及的 4200 万美元已成功得到保护。

https://x.com/GMX_IO/status/1943654914749534380

BigONE

2025 年 7 月 16 日，SlowMist 安全团队检测到加密货币交易所 BigONE 遭受供应链攻击，导致超过 2700 万美元的损失。攻击者入侵了生产网络，并修改了与账户和风险控制相关的服务器逻辑，从而实现了未经授权的资金转移。7 月 24 日，BigONE 在 X 上发布更新称，没有私钥泄露，所有损失将由平台全额承担。

https://x.com/SlowMist_Team/status/1945346830222680330

WOO X

2025 年 7 月 24 日，中心化交易所 WOO X 因安全漏洞暂停提款。九个用户账户遭受了未经授权的提款，总额约为 1400 万美元。根据官方披露，根本原因是针对一名团队成员的定向网络钓鱼攻击。攻击者通过被入侵的设备获得了对平台开发环境的有限访问权限，绕过了某些安全控制，并协调了受影响账户的未经授权的提款。

https://support.woox.io/hc/en-us/articles/49178783818777-Temporary-withdrawal-suspension-July-24-2025

ZKSwap

2025 年 7 月 9 日，以太坊 Layer 1 跨链桥 ZKSwap 遭受漏洞利用，导致约 500 万美元的损失。攻击者利用了该桥的紧急提款机制。分析表明，负责验证零知识证明的机制未能执行实际验证。这一严重疏忽使攻击者能够伪造提款证明并绕过该桥的核心安全机制。

https://x.com/R4ZN1V/status/1948448167734673838

攻击模式和安全建议

7 月份，智能合约漏洞仍然是主要的攻击媒介，中心化和去中心化交易所是主要目标。值得注意的是，中心化交易所的损失为 8520 万美元，占当月总损失的 60.8%。

在你的收件箱中获取 SlowMist 的故事

免费加入 Medium 以获取该作者的更新。

SlowMist 安全团队建议，在集成杠杆和预言机等复杂功能时，DeFi 协议必须特别关注全局状态一致性和彻底的边界条件验证，以防止因有缺陷的交互逻辑而产生的系统性风险。另一方面，中心化交易所应进一步提高其审计标准，提高系统透明度，并加强整体安全防御。

除了链上攻击，日常用例中的安全风险也不容忽视：

• 本月，另一起案例报告称，一名用户通过非官方渠道购买硬件钱包后损失了资产。受害者损失了 4.35 BTC。SlowMist 团队此前在 Web3 安全入门：常见硬件钱包陷阱 中详细介绍了此类诈骗，建议阅读。
• 虚假的 Zoom 网络钓鱼诈骗最近也屡见不鲜。在这些诈骗中，用户通过恶意链接加入虚假的 Zoom 会议。视频feed看起来正常，但没有声音。当用户向冒充技术支持的攻击者寻求帮助时，他们被指示下载“修复工具”，这会导致资产被盗。

Web3 网络钓鱼模拟平台 Unphishable（https://unphishable.io/）推出了一个以“虚假 Zoom 会议网络钓鱼”为主题的新关卡。用户可以通过交互式场景测试他们的意识并提高安全技能。

总之，本文涵盖的事件代表了本月的主要安全事件。有关更多区块链安全事件，请访问 SlowMist 被黑数据库（https://hacked.slowmist.io）。

关于 SlowMist

SlowMist 是一家成立于 2018 年 1 月的区块链安全公司。该公司由一个拥有超过十年网络安全经验的团队创立，旨在成为全球力量。我们的目标是使区块链生态系统对每个人都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾参与过 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等多个知名项目。

SlowMist 提供各种服务，包括但不限于安全审计、威胁情报、防御部署、安全顾问和其他与安全相关的服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密货币黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，例如 Akamai、BitDefender、RC²、TianJi Partners、IPIP 等。我们在加密货币犯罪调查方面所做的大量工作已被包括联合国安全理事会和联合国毒品和犯罪问题办公室在内的国际组织和政府机构引用。

通过提供针对各个项目量身定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布多个高风险区块链安全漏洞。通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/slow...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～