前言

在数字经济浪潮中，Web3 区块链技术以其去中心化、透明化等特性，构建起全新的信任与价值流转体系。然而，随着 Web3 生态蓬勃发展，安全威胁如影随形，时刻冲击着这片新兴领域。今天，就让我们一同深入剖析 2025 年上半年 Web3 区块链的安全态势，洞察潜在风险，探寻应对之策。

一、2025 上半年 Web3 安全综述 

2025 年上半年，Web3 区块链领域发生重大安全事件 87 起，因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的经济损失达 22.9 亿美元，超过 2024 年全年总和。其中，Rug Pull 总损失金额约 320 万美元；钓鱼诈骗总损失金额约 4138 万美元。从上半年来看，2 月和 5 月为损失峰值：2 月因 Bybit 交易所被盗事件单月损失超 14.5 亿美元，5 月 Cetus Protocol 攻击事件导致 2.23 亿美元损失。若剔除这两起极端事件，其余攻击事件的平均损失约为 350 万美元 / 起，显示行业基础安全风险仍在高位运行。

二、2025 上半年安全事件回顾 

2025 年上半年 Web3 安全事件呈现攻击手法专业化、损失规模集中化的特点。Bybit 和 Cetus Protocol 两起事件占总损失的 72%，凸显中心化交易所和 DeFi 协议的脆弱性。值得注意的是，智能合约漏洞（如权限控制、数学函数缺陷）仍是主要攻击入口，而跨链操作和预言机机制成为新型风险点。

安全事件回顾

1. Bybit 冷钱包攻击事件

• 损失金额：14.5 亿美元（约合 10.2 万枚 ETH）

• 攻击方式：钓鱼攻击 + 智能合约权限控制漏洞

• 事件详情：2 月 21 日，Bybit 冷钱包在执行常规资金划转时，被篡改的前端代码将价值 14.5 亿美元的 ETH 转移至黑客控制的地址。攻击暴露了中心化交易所依赖第三方钱包工具的信任风险，以及静态资源托管的安全隐患。事件发生后，Bybit 暂停所有链上操作，启动资产冻结程序，并联合执法机构追踪资金流向。该事件不仅重创用户信任，还引发市场对多签机制安全性的广泛质疑。

2. Cetus Protocol 智能合约攻击事件

• 损失金额：2.23 亿美元（含 1.62 亿美元冻结资产）

• 攻击方式：数学函数溢出漏洞 + 闪电贷操纵

• 事件详情：5 月 22 日，Sui 链上最大 DEX Cetus Protocol 遭攻击，黑客在数小时内抽干核心流动性池。攻击导致 SUI 价格暴跌 7%，相关 MEME 代币（如 Bulla）市值蒸发超 90%。Cetus 紧急冻结 1.62 亿美元资产，并悬赏 600 万美元赎回部分被盗资金，但仍有 6000 万美元资金通过跨链桥洗白。此次攻击揭示了新兴公链 DeFi 项目在复杂金融模型设计上的经验不足。

3. Nobitex 交易所攻击事件

• 损失金额：约 9000 万美元

• 攻击方式：网络间谍 + 私钥窃取

• 事件详情：6 月 18 日，以色列关联组织针对伊朗最大加密货币交易所 Nobitex 发动攻击，通过窃取私钥转移用户资产。攻击可能涉及情报获取，以色列随后逮捕了三名涉嫌为伊朗从事间谍活动的人员，其中两人曾收取加密货币作为报酬。Chainalysis 指出，Nobitex 是伊朗受制裁加密生态的重要枢纽，此次事件凸显了地缘政治对 Web3 安全的影响。

4. UPCX 智能合约攻击事件

• 损失金额：约 7000 万美元

• 攻击方式：未授权合约升级

• 事件详情：4 月 1 日，DeFi 协议 UPCX 因 ProxyAdmin 合约被未授权升级，攻击者调用 withdrawByAdmin 函数从三个管理账户转移 1840 万枚 UPC（价值 7000 万美元）。资金转移至 0xFf7 开头地址后未进一步操作，UPCX 团队确认事件并联合安全机构调查，但截至 6 月仍未追回资金。

5. Infini 权限漏洞事件

• 损失金额：约 4950 万美元

• 攻击方式：权限管理漏洞

• 事件详情：2 月 24 日，前团队成员通过保留的管理权限直接修改合约参数，分两笔盗取资金池全部 USDC（1145 万 +3806 万），兑换为 17,696 ETH 后经混币器转移。Infini 团队 48 小时内承诺全额赔付用户，并升级多签冷钱包系统，资金至今未追回。

6. Cork Protocol 合约漏洞事件

• 损失金额：约 1200 万美元（3762 枚 wstETH）

• 攻击方式：合约逻辑漏洞（虚假市场操纵）

• 事件详情：5 月 28 日，攻击者利用 Cork Protocol 的 Depeg Swap 机制漏洞，创建虚假市场并操控流动性，盗取 3762 枚 wstETH（价值 1200 万美元），随后兑换为 4530 枚 ETH。团队紧急暂停所有合约并展开调查，资金仍未追回。

7. zkLend 智能合约攻击事件

• 损失金额：约 850 万美元

• 攻击方式：整数溢出漏洞

• 事件详情：2 月，Starknet 链上 DeFi 协议 zkLend 因 safeMath 库除法计算时的四舍五入漏洞，被攻击者重复提取流动性池资金，共盗走 3300 枚 ETH（约 850 万美元）。项目方曾提出 “保留 10% 资金作为白帽赏金” 的和解方案，但黑客未响应。最终 zkLend 向执法机构报案，并监控资金流向，但追回可能性较低。

三、2025 上半年被攻击项目类型 

2025 年上半年，Web3 领域的安全事件呈现出项目类型集中化、损失规模两极分化的特点。从攻击目标来看，加密货币交易所以绝对优势成为损失最高的领域，其次是 DeFi 协议。

1. 中心化交易所（CEX）

• 损失金额：共 6 次攻击，总损失 15.91 亿美元，占全部攻击损失的 74.4%

• 最大事件：Bybit 被盗 14.4 亿美元（Safe 钱包前端被篡改）

• 其他案例：Nobitex（9000 万美元）、Phemex（7000 万美元）

2. DeFi 协议

• 损失金额：约 3.24 亿美元（占 15.1%）

• 最大事件：Cetus Protocol（Sui 生态 DEX）损失 2.24 亿美元

• 其他案例：Abracadabra Finance（1300 万美元）、Cork Protocol（1200 万美元）

3. 加密支付平台

• 损失金额：约 1.2 亿美元（2 起事件）

4. 其他类型（跨链桥、浏览器、Memecoin 等）

• 单次损失较低，但攻击次数较多

四、2025 上半年被攻击项目类型 

智能合约漏洞

2025 年上半年，智能合约漏洞成为 Web3 安全最大威胁，占全部攻击事件的 60%（12 起），造成 17.8 亿美元损失（占比 80%）。权限缺陷、数学溢出等代码问题频发，攻击者常通过钓鱼网站和签名诱骗等手段绕过风控。最严重的 Bybit 事件中，黑客利用钓鱼攻击结合合约权限漏洞，盗取 40.1 万枚 ETH（价值 14.6 亿美元），创下 Web3 史上单次攻击最高损失纪录，凸显了智能合约权限管理和多签机制的重大安全隐患。

钓鱼攻击

钓鱼攻击占 2025 年安全事件的 25%（超 200 起），造成 4 亿美元损失（16%）。攻击者通过虚假空投、高仿平台等社会工程手段窃取资产，单笔损失通常在 10-100 万美元。典型案例包括某 DeFi 项目 Discord 群组钓鱼事件，导致 230 万美元被盗，凸显用户防范意识仍需加强。

其他攻击手法

其他攻击手法（30 起事件，占比 15%）造成 3.2 亿美元损失，主要包括：

• 预言机操纵（如 KiloEx 损失 740 万美元）

• 跨链桥漏洞

• 社会工程攻击

典型案例为伊朗 Nobitex 交易所遭袭（ 8200 万 美元），黑客窃取私钥后销毁资产，凸显国家层面安全威胁与跨链协议风险叠加。

五、2025 年上半年 Web3 区块链安全态势总结 

2025 年上半年，Web3 区块链安全态势呈现出攻击事件频发、项目类型受影响广泛、攻击手法复杂多变的特点。加密货币交易所、DeFi 项目以及新兴 Web3 应用平台成为重灾区，智能合约漏洞利用和钓鱼攻击成为主要攻击手段，给行业带来了巨大的经济损失和信任冲击。

展望未来，Web3 区块链行业需要多方协同努力，共同应对安全挑战。项目方应加强智能合约的安全审计与测试，提升代码质量，完善安全防护体系；投资者需增强风险意识，谨慎对待各类投资项目，提高识别钓鱼等诈骗手段的能力；监管机构应进一步完善相关法规政策，规范行业发展，加大对违法犯罪行为的打击力度；同时，安全技术企业也应持续创新，研发更先进的安全防护技术与解决方案，为 Web3 区块链生态的健康发展保驾护航。唯有如此，Web3 区块链技术才能在安全的轨道上持续创新与发展，释放出更大的价值潜力。

官网：https://noneage.com/

邮箱：support@noneage.com

电话：15029229543