據(jù)Beosin Alert監(jiān)控及預(yù)警，2025年上半年Web3領(lǐng)域因黑客攻擊、釣魚詐騙和項目方Rug Pull（拉地毯，即項目方突然抽走流動性池或項目資金）造成的總損失約21.38億美元。

其中主要攻擊事件90起，總損失金額約20.93億美元；Rug Pull總損失金額約320萬美元；釣魚詐騙總損失金額約4 138萬美元。

從被攻擊項目類型來看，中心化交易所是損失金額最高的項目類型。6起針對交易所平臺的攻擊共造成超15.91億美元的損失，占所有攻擊損失金額的74.4%。

從各鏈損失金額來看，Ethereum（以太坊）依舊是損失金額最高、攻擊事件最多的鏈。81起Ethereum上的攻擊事件造成了17.39億美元的損失，占總損失的81.3%；Sui因為Cetus Protocol事件損失約2.24億美元，位列第二。

從攻擊手法來看，上半年利用合約漏洞進行攻擊的事件最為頻繁，共發(fā)生63起，造成損失達4.08億美元。Bybit因錢包基礎(chǔ)設(shè)施缺陷被盜14.4億美元，占到了總攻擊損失金額的67.4%，是損失金額占比最高的攻擊手法。

從資金流向來看，上半年僅有少部分（約2.38億美元）被盜資金被凍結(jié)或追回，約71.2%的被盜資金仍在鏈上錢包中流轉(zhuǎn)，未流入交易所或混幣器。

2025年上半年攻擊事件總覽

2025年上半年，Beosin Alert共監(jiān)測到Web3領(lǐng)域主要攻擊事件90起，總損失金額達20.93億美元。其中損失金額超過1億美元的安全事件共2起，損失在0.1億~1億美元區(qū)間的事件共7起，100萬~1 000萬美元區(qū)間的事件共18起。

損失金額超過千萬美元的攻擊事件（按金額從大到小排序）如下：

● Bybit：14.4億美元

攻擊方式：Safe錢包前端被篡改

鏈平臺：Ethereum

2月21日，加密貨幣交易所Bybit遭遇攻擊，其Safe多簽錢包約14.4億美元資金被盜。黑客通過入侵Safe的服務(wù)器植入了惡意代碼，替換了正常的交易請求，導(dǎo)致簽名者在不知情的情況下簽署了被篡改的交易。

● Cetus Protocol：2.24億美元

攻擊方式：合約漏洞

鏈平臺：Sui

5月22日，Sui生態(tài)上的DEX Cetus Protocol被攻擊，其漏洞源于對開源庫代碼中左移運算的實現(xiàn)錯誤。隨后在Sui基金會及其他生態(tài)項目合作下，已成功凍結(jié)了在Sui上1.62億美元的被盜資金。

● Nobitex：9 000萬美元

攻擊方式：暫未明確

鏈平臺：多鏈

6月18日，伊朗最大加密交易所Nobitex發(fā)布公告稱遭遇黑客攻擊，損失超9 000萬美元，涉及BTC、ETH、Doge、XRP、SOL、TRX和TON等多種加密貨幣。一個名為“Gonjeshke Darande（掠食麻雀）”的親以色列黑客組織已宣布對此次攻擊負責，并將此次襲擊定性為針對伊朗加密基礎(chǔ)設(shè)施的打擊。

● Phemex：7 000萬美元

攻擊方式：私鑰泄露

鏈平臺：多鏈

1月23日，總部位于新加坡的加密貨幣交易所Phemex熱錢包中約7 000萬美元的加密資產(chǎn)被盜，涉及ETH、SOL、BTC、BNB、USDT等多種加密資產(chǎn)。

● UPCX：7 000萬美元

攻擊方式：訪問控制漏洞

鏈平臺：Ethereum

4月1日，UPCX由于未經(jīng)授權(quán)的訪問損失了價值約7 000萬美元的代幣。黑客升級了UPCX的ProxyAdmin合約，隨后執(zhí)行了一個允許管理員提取資金的功能，導(dǎo)致資金從3個不同的管理賬戶中被轉(zhuǎn)移。

● Infini：4 950萬美元

攻擊方式：權(quán)限管理漏洞

鏈平臺：Ethereum

2月24日，Infini被盜4 950萬美元，其原因為內(nèi)部一開發(fā)人員通過欺騙團隊秘密保留了合約管理權(quán)限，通過升級合約盜走了資金。

● Abracadabra Finance：1 300萬美元

攻擊方式：合約漏洞

鏈平臺：Ethereum

3月25日，去中心化借貸協(xié)議Abracadabra Finance因合約漏洞被盜約6 262枚ETH，損失約1 300萬美元。

● Cork Protocol：1 200萬美元

攻擊方式：合約漏洞

鏈平臺：Ethereum

5月28日，以太鏈上的錨定資產(chǎn)協(xié)議Cork Protocol遭受攻擊，攻擊者通過項目合約的邏輯漏洞（未驗證關(guān)鍵參數(shù)）獲利1 200萬美元。

● BitoPro：1 150萬美元

攻擊方式：私鑰泄露

鏈平臺：多鏈

6月2日，加密交易所BitoPro發(fā)布公告確認被攻擊，表示近期在進行錢包系統(tǒng)升級與加密資產(chǎn)轉(zhuǎn)移期間，其熱錢包遭遇黑客攻擊，多個鏈上熱錢包異常流出資金約1 150萬美元。

被攻擊項目類型

2025年上半年損失最高的項目類型為中心化交易所（CEX），6起針對CEX的攻擊共造成了超過15.91億美元的損失，其中損失金額最大的交易所為Bybit，損失約14.4億美元。其余損失金額較大的有Nobitex（損失約9 000萬美元）、Phemex（損失約7 000萬美元），Noones、BitoPro和Coinbase也遭到了攻擊。

損失排在第二位的被攻擊類型為去中心化金融（DeFi）。其中Cetus Protocol被盜約2.24億美元，占DeFi被盜資金的69.1%，其余損失金額較大的DeFi項目有Abracadabra Finance（損失約1 300萬美元）、Cork Protocol（損失約1 200萬美元）、Resupply（損失約960萬美元）、zkLend（損失約950萬美元）、Ionic（損失約880萬美元）、Alex Protocol（損失約837萬美元）。

此外，有2起安全事件發(fā)生在加密支付領(lǐng)域，造成損失約1.20億美元，排在所有被攻擊項目類型的第三位。其它被攻擊的項目類型還包括：瀏覽器、代幣合約、跨鏈橋、Memecoin發(fā)射臺等。

各鏈損失金額情況

和往年相同，Ethereum依舊是損失金額最高、攻擊事件最多的公鏈。2025年上半年，81起Ethereum上的攻擊事件造成了17.39億美元的損失，占到了總損失的81.3%。

攻擊事件次數(shù)排名第二的公 鏈為BNB Chain，33起攻擊事件共造成了約4 253萬美元的損失。BNB Chain的鏈上攻擊次數(shù)多，損失金額相對較小，但相比去年同時期，攻擊次數(shù)與損失金額均大幅增加，損失金額增加357%。

Arbitrum和Base分列第三、第四，損失金額分別為2 120萬美元和1 305萬美元。相較于去年同時期，Arbitrum鏈攻擊次數(shù)有所增加，但損失金額大幅下降71.8%；Base鏈攻擊次數(shù)與損失金額均大幅增加，損失金額增加294%。

攻擊手法分析

2025年上半年，70%的攻擊來自合約漏洞，即共發(fā)生63起針對合約漏洞的攻擊事件，造成損失達到了4.08億美元，是除Bybit因錢包基礎(chǔ)設(shè)施缺陷被盜外，損失金額最大的一類攻擊手段。今年上半年私鑰泄露事件造成的損失相比于去年同時期大幅減少，但總損失金額仍超過了1.02億美元。

按照合約漏洞細分，造成損失前三名的漏洞分別為：業(yè)務(wù)邏輯漏洞（損失約3.56億美元）、算法缺陷（損失約2 137萬美元）、校驗漏洞（損失約1 270萬美元）。出現(xiàn)次數(shù)前三名的合約漏洞為業(yè)務(wù)邏輯漏洞（45次）、訪問控制漏洞（7次）、算法缺陷（5次）。

被盜資金流向分析

據(jù)Beosin KYT反洗錢平臺分析，2025年上半年被盜的資金中，約2.38億美元被盜資金被凍結(jié)或追回，占比約11.1%。

約有9 789萬美元的被盜資金轉(zhuǎn)入了各交易所，占比約4.6%。共有2.78億美元（占比約13.0%）轉(zhuǎn)入了混幣器：約1 946萬美元轉(zhuǎn)入了Tornado Cash；2.59億美元轉(zhuǎn)入了其他混幣器。和去年相比，2025年上半年通過混幣清洗的被盜資金大幅增加。

和2024上半年相比，今年上半年因黑客攻擊、釣魚詐騙、項目方Rug Pull造成的總損失大幅上升，達到了21.38億美元。交易所、主流公鏈生態(tài)的攻擊次數(shù)和損失金額整體上都在增加，Web3安全領(lǐng)域形勢依然非常嚴峻。

2025年上半年造成危害最大的攻擊事件為Bybit被盜事件，約67.4%的損失金額來自該事件。從項目類型來看，攻擊事件遍布于Web3各個領(lǐng)域：交易所、DeFi、個人錢包、基礎(chǔ)設(shè)施、代幣合約、支付平臺、瀏覽器、Memecoin發(fā)射平臺等。各個Web3項目方和個人用戶都需要提高警惕，可采用離線存儲私鑰、使用多重簽名等手段，同時要謹慎使用第三方服務(wù)、對特權(quán)員工進行定期權(quán)限更新與安全培訓。

2025年上半年僅有一小部分資產(chǎn)被凍結(jié)或追回，這表明全球監(jiān)管和反洗錢力度仍需加強。上半年黑客向交易所轉(zhuǎn)入被盜資金的比例大幅下降，這與交易所加強反洗錢、及時識別黑客行為，積極配合執(zhí)法機構(gòu)和項目方凍結(jié)資金及進行調(diào)證有關(guān)。目前交易所和執(zhí)法機構(gòu)、項目方、安全團隊的合作已經(jīng)有了較為明顯的成果，因此黑客更多地嘗試選擇多種混幣器進行資金清洗。

2025年上半年90起攻擊事件中，依然有63起來自合約漏洞利用，建議項目方在上線前尋求專業(yè)的安全公司進行審計。

Beosin作為全球最早一批從事形式化驗證的區(qū)塊鏈安全公司，主打“安全+合規(guī)”全生態(tài)業(yè)務(wù)，在全球10多個國家和地區(qū)設(shè)立了分部，業(yè)務(wù)涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監(jiān)控與阻斷、被盜追回、虛擬資產(chǎn)反洗錢（AML）以及符合各地監(jiān)管要求的合規(guī)評估等“一站式”區(qū)塊鏈合規(guī)產(chǎn)品+安全服務(wù)。