2025年Web3安全年度报告：供应链攻击成最大威胁

作者：Beosin

前言

本研究報告由區塊鏈安全聯盟發起，由聯盟成員 Beosin、Footprint Analytics 共同創作，旨在全面探討 2025 年全球區塊鏈安全態勢。通過對全球區塊鏈安全現狀的分析和評估，報告將揭示當前面臨的安全挑戰和威脅，並提供解決方案和最佳實踐。區塊鏈安全和監管是 Web3 時代發展的關鍵問題。通過本報告的深入研究和探討，我們可以更好地理解和應對這些挑戰，以推動區塊鏈技術的安全性和可持續發展。

1、2025 年 Web3 區塊鏈安全態勢綜述

據區塊鏈安全與合規科技公司 Beosin 旗下 Alert 平台監測，2025年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull造成的總損失達到了33.75億美元。區塊鏈重大安全事件共 313 起，其中黑客攻擊事件 191起，總損失金額約31.87億美元；項目方 Rug Pull 事件總損失約 1150 萬美元；釣魚詐騙 113 起，總損失金額約1.77億美元。

2025 年 Q1 損失金額最為慘重，絕大部分損失來自 Bybit 的黑客事件。黑客攻擊的損失金額隨季度持續下降，但較 2024 年有大幅上升，增幅為 77.85%；釣魚詐騙與項目方 Rug Pull 事件的損失金額較 2024 年均顯著下降，其中釣魚詐騙的金額損失降幅約為 69.15%，Rug Pull 的金額損失降幅約 92.21%。

2025年被攻擊的項目類型包括 DeFi、CEX、公鏈、跨鏈橋、NFT、Memecoin 交易平台、錢包、瀏覽器、第三方程式包、基礎設施、MEV 機器人等多種類型。DeFi 依然為被攻擊頻次最高的項目類型，91次針對 DeFi 的攻擊共造成損失約6.21億美元。CEX 為總損失金額最高的項目類型，9次針對 CEX 的攻擊共造成損失約17.65億美元，占總損失金額的 52.30%。

2025年Ethereum 依舊是損失金額最高的公鏈，170次 Ethereum 上的安全事件造成了約 22.54 億美元的損失，占到了全年總損失的66.79%。

從攻擊手法來看，Bybit 事件因供應鏈攻擊造成約 14.40億美元的損失，占總損失的42.67%，是造成損失最多的攻擊方式。除此之外，合約漏洞利用是出現頻次最高的攻擊方式，191 起攻擊事件裡，有62次來自於合約漏洞利用，佔比達到 32.46%。

2、2025 年十大安全事件

2025 年共發生損失過億的安全事件 3 起：Bybit（14.40 億美元）、Cetus Protocol（2.24 億美元）與 Balancer（1.16 億美元），接下來是 Stream Finance（9300 萬美元）、BTC 巨鯨（9100 萬美元）、Nobitex（9000 萬美元）、Phemex（7000 萬美元）、UPCX（7000 萬美元）、以太坊用戶（5000 萬美元）、Infini（4950 萬美元）。

與往年不同的是，今年前 10 大安全事件中出現了 2 起個人用戶的巨額損失，其損失原因為社會工程學 / 釣魚攻擊。雖然此類攻擊並非造成損失金額最大的攻擊手段，但其攻擊頻次每年呈上升趨勢，成為個人用戶面臨的一大威脅。

3、被攻擊項目類型

中心化交易所成為損失金額最高的項目類型

2025 年損失最高的項目類型為中心化交易所，9 次針對中心化交易所的攻擊共造成了約 17.65 億美元的損失，占總損失金額的 52.30%。其中損失金額最大的交易所為 Bybit，損失約 14.4 億美元。其餘損失金額較大的有 Nobitex（損失約 9000 萬美元）、Phemex（損失約 7000 萬美元）、BtcTurk（4800 萬美元）、CoinDCX（4420 萬美元）、SwissBorg（4130 萬美元）、Upbit（3600 萬美元）。

DeFi 為被攻擊頻次最高的項目類型，91 次針對 DeFi 的攻擊共造成損失約 6.21 億美元，排在損失金額的第二位。其中 Cetus Protocol 被盜約 2.24 億美元，佔 DeFi 被盜資金的 36.07%，Balancer 損失約 1.16 億美元，其餘損失金額較大的 DeFi 項目有 Infini（約 4950 萬美元）、GMX（約 4000 萬美元）、Abracadabra Finance（1300 萬美元）、Cork Protocol（約 1200 萬美元）、Resupply（約 960 萬美元）、zkLend（約 950 萬美元）、Ionic（約 880 萬美元）、Alex Protocol（約 837 萬美元）。

4、各鏈損失金額情況

Ethereum 為損失金額最高、安全事件最多的鏈

和往年相同的是，Ethereum 依舊是損失金額最高、安全事件發生次數最多的公鏈。170 次 Ethereum 上的安全事件造成了約 22.54 億美元的損失，占到了全年總損失的 66.79%。

安全事件次數排名第二的公鏈為 BNB Chain，64 次安全事件共造成了約 8983 萬美元的損失。BNB Chain 的鏈上攻擊次數多，損失金額相對較小，但相比 2024 年，發生安全事件的次數與損失金額均大幅增加，損失金額增加 110.87%。

Base 為安全事件次數排名第三的區塊鏈，共計 20 次安全事件。Solana 以 19 次安全事件緊隨其後。

5、攻擊手法分析

合約漏洞利用是出現頻次最高的攻擊方式

191 起攻擊事件裡，有62次來自於合約漏洞利用，佔比達到 32.46%，造成的總損失達 5.56 億美元，是除 Bybit 因供應鏈攻擊外，損失金額最大的一類攻擊手段。

按照合約漏洞細分，造成損失最多的漏洞為：業務邏輯漏洞，共計損失金額為 4.64 億美元。出現次數前三名的合約漏洞為業務邏輯漏洞（53 次）、存取控制漏洞（7 次）、演算法缺陷（5 次）。

今年私鑰洩露事件共計 20 次，總損失金額約 1.80 億美元，發生次數與造成的損失相比於去年大幅減少。交易所、項目方以及用戶對私鑰的保護意識有所提升。

6、典型安全事件攻擊分析

6.1 Cetus Protocol 2.24 億美元安全事件分析

事件概要

2025 年 5 月 22 日，Sui 生態上的 DEX Cetus Protocol 被攻擊，其漏洞源於開源庫程式碼中左移運算的實現錯誤。以其中一筆攻擊交易 (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) 為例，簡化的攻擊步驟如下：

1. 啟用閃電貸：攻擊者透過閃電貸借入 1000 萬 haSUI。

2. 創建流動性倉位：開設一個新的流動性倉位，其價格區間為 [300000, 300200]。

3. 增加流動性：僅使用 1 個單位的 haSUI 增加了流動性，但獲得了高達 10,365,647,984,364,446,732,462,244,378,333,008 的流動性值。

4. 移除流動性：立即移除多筆交易中的流動性，以耗盡流動性池。

5. 償還閃電貸：償還閃電貸並保留約 570 萬 SUI 作為利潤。

漏洞分析

本次攻擊的根本原因在於 get_delta_a 函數中的 checked_shlw 實現錯誤，導致溢出檢查失敗。攻擊者僅需要少量代幣，就能在流動性池中兌換出大量資產，從而實現攻擊。

如下圖所示， checked_shlw 用於判斷 u256 數左移 64 位是否會導致溢出，小於 0xffffffffffffffff << 192 的輸入值會繞過溢出檢測，但輸入值在在左移 64 位後可能會超出 u256 最大值（溢出），而 checked_shlw 仍會輸出未發生溢出（false）。這樣一來，在後續計算中就會嚴重低估所需的代幣數量。

此外，在 Move 中，整數運算的安全性旨在防止溢出和下溢，因為溢出和下溢可能導致意外行為或漏洞。具體來說：如果加法和乘法的計算結果對於整數類型來說過大，則會導致程式中止。如果除數為零，則除法中止。

而左移（<<）的獨特之處在於，發生溢出時不會中止。這意味著，即使移位的位數超出了整數類型的存儲容量，程式也不會終止，從而可能導致錯誤值或不可預測的行為。

6.2 Balancer 1.16 億美元安全事件分析

2025 年 11 月 3 日，Balancer v2 協議遭到攻擊，包括其 fork 協議在內的多個項目在多條鏈上損失約 1.16 億美元。以攻擊者在以太坊上的攻擊交易為例：0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. 攻擊者首先透過批量互換功能發起攻擊交易，其使用 BPT 大量換出池子的流動性代幣，使得池子的流動性代幣儲備變得很低。

2. 隨後攻擊者開始進行流動性代幣（osETH/WETH）的互換。

3. 然後再將流動性代幣換回 BPT 代幣，並在多個池子不斷重複以上操作。

4. 最後進行提款，實現獲利。

漏洞分析

ComposableStablePools 使用 Curve 的 StableSwap 不變式公式來維持相似資產之間的價格穩定性。然而，進行不變式計算的縮放操作時會引入誤差。

mulDown 函數執行向下取整的整數除法，這種精度誤差會傳遞到不變式的計算中，導致計算值異常降低，從而為攻擊者創造獲利機會。

7、反洗錢典型案例分析

7.1 美國制裁以 Ryan James Wedding 為首的販毒集團

據美國財政部披露的資料顯示，Ryan JamesWedding 及其團隊經由哥倫比亞和墨西哥走私了數噸可卡因並銷往美國和加拿大。其犯罪組織利用加密貨幣洗錢，以清洗巨額的非法財富。

透過 Beosin 旗下的鏈上追蹤與調查工具 Beosin Trace，對與 Wedding 的販毒集團關聯的加密貨幣地址進行分析，分析結果如下所示：

TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP、TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6 與 TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 這 3 個 Wedding 持有的地址共經手 266,761,784.24USDT，一部分資產已被 Tether 官方凍結，但大部分資產已經透過高頻次交易的地址和多級轉移完成清洗，充值到 Binance、OKX、Kraken、BTSE 等平台。

其團伙 Sokolovski 持有多個區塊鏈網路（BTC、ETH、Solana、TRON、BNB Beacon Chain）的地址，其資金流向分析結果可透過完整版報告查看。

7.2 GMX 4000 萬美元資金被盜案件

2025 年 7 月 10 日，GMX 因可重入漏洞被攻擊，黑客獲利約 4200 萬美元。Beosin Trace 對被盜資金進行追蹤發現：攻擊者地址 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355在獲利後透過 DEX 協議將各類穩定幣和山寨幣兌換成 ETH 和 USDC，並透過多個跨鏈協議將被盜資產轉移至 Ethereum 網路。

隨後 GMX 被盜資產中價值約 3200 萬的 ETH 分別存放在以下 4 個以太坊網路地址：

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

約 1000 萬美元的資產存放在 Arbitrum 網路的地址 0xdf3340a436c27655ba62f8281565c9925c3a5221。

本次事件的資金清洗路徑非常典型，黑客透過 DeFi 協議、跨鏈橋等方式對資金的路徑進行混淆和隱藏，以躲避來自監管機構、執法部門的追蹤和凍結。

8、2025 Web3 區塊鏈安全態勢總結

2025年，釣魚詐騙、項目方 Rug Pull 所造成的金額損失較 2024年均有明顯下降，然而黑客攻擊頻發，損失金額超過了 31 億美元，其中損失最高的項目類型依然為交易所。而私鑰洩露相關的安全事件有所減少，造成這一轉變的主要原因包括：

在去年猖獗的黑客活動之後，今年整個 Web3 生態更加注重安全性，從項目方到安全公司都在各個方面做出了努力，如內部安全運營、實時鏈上監控、更加重視安全審計、從過往合約漏洞利用事件中積極汲取經驗，在私鑰保管與項目運營安全方面不斷加強了安全意識。由於合約漏洞和盜取私鑰的難度越來越高，黑客開始透過其它手段，如供應鏈攻擊、前端漏洞等方式欺騙用戶將資產轉移至黑客控制的地址。

此外，隨著加密市場與傳統市場的融合，攻擊目標不再局限於攻擊 DeFi、跨鏈橋、交易所等類型，而是轉向攻擊支付平台、博彩平台、加密服務提供商、基礎設施、開發工具、MEV 機器人等多種目標，攻擊的焦點也轉向更為複雜的協議邏輯缺陷。

對個人用戶而言，社會工程 / 釣魚攻擊以及可能存在的暴力脅迫成為個人資產安全的重大威脅。目前，許多釣魚攻擊因涉及金額較小，受害者為個人用戶而未被公開報導或者記錄，其損失數據往往被低估，但用戶應提高防範此類攻擊的意識。而針對加密用戶的綁架等具有暴力脅迫的物理方式在今年屢次出現，用戶需保護好個人身份資訊，並盡可能減少加密資產的公開暴露。

總體而言，2025 年的 Web3 安全依然面臨著嚴峻挑戰，項目方與個人用戶不可掉以輕心。在未來，供應鏈安全可能成為 Web3 安全的重中之重。如何持續保護行業的各類基礎設施服務提供商以及監控、告警供應鏈中存在的威脅，是行業各方需要共同解決的一大挑戰。而 AI 驅動的社會工程 / 釣魚攻擊可能會繼續增加，這需要構建一個從個人意識到技術屏障、再到社區協作的多層次、實時、動態的防禦體系以進行應對。