2025年Web3区块链安全态势年报 PDF Free Download
1 / 21/21
100%
Web3区块链
安全态势年报
SECURING BLOCKCHAIN ECOSYSTEMSECURING BLOCKCHAIN ECOSYSTEM
01
1. 2025年 Web3区块链安全态势综述
02
2. 2025年十大攻击事件
04
3. 被攻击项目类型
05
4. 各链损失金额情况
06
5. 攻击手法分析
07
6. 典型安全事件攻击分析
11
7. 反洗钱典型案例分析
16
8. 2025年 Web3 区块链安全态势总结
一、2025年 Web3区块链安全态势及反洗钱分析
17
1. Beosin为Web3区块链生态保驾护航
18
2. 区块链生态安全联盟介绍
19
3. CONTACT US
二、护航区块链生态安全
CONTENTSCONTENTSCONTENTSCONTENTSCONTENTS
CONTENTS
2025年
Web3区块链安全态势及反洗钱分析
一、
本研究报告由区块链安全联盟发起,由联盟成员Beosin、Footprint Analytics共同创作,
旨在全面探讨2025年全球区块链安全态势。通过对全球区块链安全现状的分析和评估,
报告将揭示当前面临的安全挑战和威胁,并提供解决方案和最佳实践。区块链安全和监
管是Web3时代发展的关键问题。通过本报告的深入研究和探讨,我们可以更好地理解和
应对这些挑战,以推动区块链技术的安全性和可持续发展。
*数据截止于2025年12月24日
前言
01
一、2025年 Web3区块链安全态势及反洗钱分析
2025 年被攻击的项目类型包括 DeFi、CEX、公链、跨链桥、NFT、Memecoin交易平台、钱包、浏览器、第三方代码包、基
础设施、MEV机器人等多种类型。DeFi 依然为被攻击频次最高的项目类型,91 次针对 DeFi 的攻击共造成损失约6.21亿美元。
CEX为总损失金额最高的项目类型,9次针对 CEX 的攻击共造成损失约17.65亿美元,占总损失金额的 52.30%。
2025年 Ethereum 依旧是损失金额最高的公链,170次 Ethereum 上的安全事件造成了约22.54 亿美元的损失,占到了全年总
损失的 66.79%。
从攻击手法来看,Bybit事件因供应链攻击造成约14.40亿美元的损失,占总损失的42.67%,是造成损失最多的攻击方式。除此
之外,合约漏洞利用是出现频次最高的攻击方式,191起攻击事件里,有62次来自于合约漏洞利用,占比达到了32.46%。
2025年Q1损失金额最为惨重,绝大部分损失来自Bybit的黑客事件。黑客攻击的损失金额随季度持续下降,但较2024年有大幅
上升,增幅为77.85%;钓鱼诈骗与项目方 Rug Pull 事件的损失金额较 2024 年均显著下降,其中钓鱼诈骗的金额损失降幅约
为69.15 %,Rug Pull的金额损失降幅约92.21%。
据区块链安全与合规科技公司 Beosin 旗下 Alert 平台监测,2025 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造
成的总损失达到了 33.75 亿美元。区块链重大安全事件共313起,其中黑客攻击事件 191 起,总损失金额约 31.87 亿美元;项
目方 Rug Pull 事件总损失约 1150 万美元;钓鱼诈骗 113 起,总损失金额约 1.77 亿美元。
1.1 2025年 Web3区块链安全态势综述
02
2025年共发生损失过亿的安全事件3起:Bybit(14.40 亿美元)、 Cetus Protocol(2.24亿美元)与Balancer(1.16亿美
元)。与往年不同的是,今年前10大安全事件中出现了2起个人用户的巨额损失,其损失原因为社会工程学/钓鱼攻击。虽然此
类攻击并非造成损失金额最大的攻击手段,但其攻击频次每年呈上升趋势,成为个人用户面临的一大威胁。
1.2 2025年十大攻击事件
2025年2月21日,加密货币交易所 Bybit 遭遇攻击,其 Safe 多签钱包约14.4亿美元资金被盗。黑客通过入侵 Safe 的服务器植
入了恶意代码,替换了正常的交易请求,导致签名者在不知情的情况下签署了被篡改的交易。
损失金额:14.40 亿美元 攻击方式:Safe钱包前端被篡改 链平台:Ethereum
Bybit
No.1
2025年5月22日,Sui 生态上的DEX Cetus Protocol被攻击,其漏洞源于对开源库代码中左移运算的实现错误。随后在 Sui 基
金会及其它生态项目合作下,已成功冻结了在 Sui 上的 1.62 亿美元的被盗资金。
损失金额:2.24 亿美元 攻击方式:合约漏洞 链平台:Sui
Cetus Protocol
No.2
2025 年11月3日,Balancer v2协议遭到攻击,包括其 fork 协议在内的多个项目在多条链上损失约 1.16 亿美元。攻击者通过操
纵 Balancer 的 LP Token 价格实现获利。
损失金额:1.16 亿美元 攻击方式:合约漏洞 链平台:Ethereum
Balancer
No.3
2025年11月 4日,Stream Finance宣布其协议的外部基金管理人造成了约9300万美金的损失,即日起暂停所有存取款功能。
经调查,10月10日 - 11日,因市场暴跌,该外部基金管理人的仓位亏损,直接挪用了Stream Finance资金填补亏空,最终爆
仓。
损失金额:9300 万美元 攻击方式:挪用用户资产 链平台:Ethereum
Stream Finance
No.4
2025年8月19日,据ZachXBT报道,一名个人用户受到社会工程学攻击,损失783个BTC(价值约9100万美元),攻击者通过
冒充交易所和硬件钱包的客服人员诱骗受害者转移资产。
损失金额:9100 万美元 攻击方式:社会工程学 链平台:Bitcoin
个人用户
No.5
2025 年6月18 日,伊朗最大加密交易所Nobitex发布公告称遭遇黑客攻击,损失超9000万美元,涉及BTC、ETH、Doge、
XRP、SOL、TRX和TON等多种加密货币。一个名为“Gonjeshke Darande”的亲以色列组织已宣布对此次攻击负责,并将此次
袭击定性为针对伊朗加密基础设施的打击。
损失金额:9000 万美元 攻击方式:暂未明确 链平台:多链
Nobitex
No.6
03
2025 年1月23日,总部位于新加坡的加密货币交易所 Phemex 热钱包中约 7000 万美元的加密资产被盗,涉及ETH、SOL、
BTC、BNB、USDT等多种加密资产。
损失金额:7000 万美元 攻击方式:私钥泄露 链平台:多链
Phemex
No.7
2025 年4月1日,UPCX由于未经授权的访问损失了价值约7000万美元的代币。黑客升级了UPCX的ProxyAdmin合约,随后执
行了一个允许管理员提取资金的功能,导致资金从三个不同的管理账户中被转移。
损失金额:7000 万美元 攻击方式:访问控制漏洞 链平台:Ethereum
UPCX
No.8
2025 年12月20日,一个以太坊地址遭受“地址投毒”攻击,损失金额5000万美元。受害者在完成转账测试后,攻击者随即生成
了尾号相似的地址进行转账,受害者因为没有仔细检查转账地址而将其5000万USDT转入至攻击者的地址。
损失金额:5000万美元 攻击方式:钓鱼攻击 链平台:Ethereum
个人用户
No.9
2025年2月24日,Infini被盗4950万美元,其原因为内部一开发人员通过欺骗团队秘密保留了合约管理权限,通过升级合约盗
走资金。
损失金额:4950 万美元 攻击方式:权限管理漏洞 链平台:Ethereum
Infini
No.10
04
1.3 被攻击项目类型
2025年损失最高的项目类型为中心化交易所,9 次针对中心化交易所的攻击共造成了约 17.65 亿美元的损失,占总损失金额的
52.30 %。其中损失金额最大的交易所为Bybit,损失约14.4亿美元。其余损失金额较大的有Nobitex(损失约9000万美元)、
Phemex(损失约7000万美元)、BtcTurk(4800万美元)、CoinDCX(4420万美元)、SwissBorg(4130万美元)、Upbit
(3600万美元)。
中心化交易所成为损失金额最高的项目类型
DeFi 为被攻击频次最高的项目类型,91 次针对 DeFi 的攻击共造成损失约 6.21 亿美元,排在损失金额的第二位。其中Cetus
Protocol被盗约 2.24 亿美元,占DeFi被盗资金的 36.07 %,Balancer损失约 1.16 亿美元,其余损失金额较大的DeFi项目有
Infini(约4950万美元)、GMX(约4000万美元)、Abracadabra Finance(1300万美元)、Cork Protocol(约1200万美
元)、Resupply(约960万美元)、zkLend(约950万美元)、Ionic(约880万美元)、Alex Protocol(约837万美元)。
05
和往年相同的是,Ethereum 依旧是损失金额最高、安全事件发生次数最多的公链。170 次 Ethereum 上的安全事件造成了约
22.54 亿美元的损失,占到了全年总损失的 66.79 %。
Ethereum为损失金额最高、安全事件最多的链
1.4 各链损失金额情况
安全事件次数排名第二的公链为 BNB Chain,64次安全事件共造成了约 8983 万美元的损失。BNB Chain的链上攻击次数多,
损失金额相对较小,但相比2024年,发生安全事件的次数与损失金额均大幅增加,损失金额增加110.87%。
Base为安全事件次数排名第三的区块链,共计20次安全事件。Solana以19次安全事件紧随其后。
06
191 起攻击事件里,有 62 次来自于合约漏洞利用,占比达到了 32.46 %,造成的总损失达5.56亿美元,是除Bybit因供应链攻
击外,损失金额最大的一类攻击手段。
按照合约漏洞细分,造成损失最多的漏洞为:业务逻辑漏洞,共计损失金额为4.64亿美元。出现次数前三名的合约漏洞为业务
逻辑漏洞(53次)、访问控制漏洞(7次)、算法缺陷(5次)。
今年私钥泄露事件共计20次,总损失金额约1.80亿美元,发生次数与造成的损失相比于去年大幅减少。可见交易所、项目方以
及用户对私钥的保护意识有所提升。
合约漏洞利用是出现频次最高的攻击方式
1.5 攻击手法分析
07
1.6 典型安全事件攻击分析
1.6.1 Cetus Protocol 2.24亿美元安全事件分析
2025 年 5 月 22 日,Sui 生态上的DEX Cetus Protocol被攻击,其漏洞源于开源库代码中左移运算的实现错误。以其中一笔攻
击交易 (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) 为例,简化
的攻击步骤如下:
1. 启用闪电贷:攻击者通过闪电贷借入 1000 万 haSUI。
2. 创建流动性仓位:开设一个新的流动性仓位,其价格区间为 [300000, 300200]。
3. 增加流动性:仅使用 1 个单位的 haSUI 增加了流动性,但获得了高达 10,365,647,984,364,446,732,462,244,378,333,008
的流动性值。
4. 移除流动性:立即移除多笔交易中的流动性,以耗尽流动性池。
5. 偿还闪电贷:偿还闪电贷并保留约570万SUI作为利润。
本次攻击的根本原因在于get_delta_a函数中的checked_shlw实现错误,导致溢出检查失败。攻击者仅需要少量代币,就能在
流动性池中兑换出大量资产,从而实现攻击。
如下图所示, checked_shlw用于判断 u256 数左移 64 位是否会导致溢出,小于0xffffffffffffffff << 192 的输入值会绕过溢出检
测,但输入值在在左移 64 位后可能会超出 u256 最大值(溢出),而checked_shlw仍会输出未发生溢出(false)。这样一
来,在后续计算中就会严重低估所需的代币数量。
此外,在 Move 中,整数运算的安全性旨在防止溢出和下溢,因为溢出和下溢可能导致意外行为或漏洞。具体来说:如果加法
和乘法的计算结果对于整数类型来说过大,则会导致程序中止。如果除数为零,则除法中止。
而左移(<<)的独特之处在于,发生溢出时不会中止。这意味着,即使移位的位数超出了整数类型的存储容量,程序也不会终
止,从而可能导致错误值或不可预测的行为。
漏洞分析
08
1.6.2 Balancer 1.16亿美元安全事件分析
2025 年 11 月 3 日,Balancer v2协议遭到攻击,包括其 fork 协议在内的多个项目在多条链上损失约 1.16 亿美元。以攻击者在
以太坊上的攻击交易为例:0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742
1. 攻击者首先通过批量互换功能发起攻击交易,其使用 BPT 大量换出池子的流动性代币,使得池子的流动性代币储备变得很
低。
2.随后攻击者开始进行流动性代币(osETH/WETH)的互换。
3.然后再将流动性代币换回 BPT 代币,并在多个池子不断重复以上操作。
4.最后进行提款,实现获利。
ComposableStablePools 使用 Curve 的 StableSwap 不变式公式来维持相似资产之间的价格稳定性。然而,进行不变式计算的
缩放操作时会引入误差。
mulDown 函数执行向下取整的整数除法,这种精度误差会传递到不变式的计算中,导致计算值异常降低,从而为攻击者创造
获利机会。
漏洞分析
11
据美国财政部披露的资料显示,Ryan James Wedding及其团队经由哥伦比亚和墨西哥走私了数吨可卡因并销往美国和加拿
大。其犯罪组织利用加密货币洗钱,以清洗巨额的非法财富。
Wedding通过两名人员管理其复杂的金融运作:加拿大珠宝商Sokolovski和前意大利特种部队成员Tiepolo。他们密切合作,管
理Wedding的实物资产和清洗非法资金。Sokolovski通过其珠宝公司和加密货币成功清洗并转移了数百万美元的贩毒收益,而
Wedding已知的钱包地址共接收了超过2.63亿美元的USDT。
通过Beosin旗下的链上追踪与调查工具Beosin Trace,对与Wedding的贩毒集团关联的加密货币地址进行分析,分析结果如下
所示:
1.7 反洗钱典型案例分析
1.7.1 美国制裁以Ryan James Wedding为首的贩毒集团
12
TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP、TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6与TPJ1JNX98MJpHueB-
JeF5SVSg85z8mYg1P1这3个Wedding持有的地址共经手266,761,784.24USDT,一部分资产已被Tether官方冻结,但大部分
资产已经通过高频次交易的地址和多级转移完成清洗,充值到Binance、OKX、Kraken、BTSE等平台。
其团伙Sokolovski所持有的地址:
BTC网络
37fKFZQGMqdBkjSUub1jCDWGgSHwv9VxfZ
1JPqJ8sxLBvdHBqMqSFBmUkoh2vAuCUNvs
ETH网络
0x5d5b5dafecbf31bdb08bfd3edad4f2694372d0ef
0xc103b7dc095c904b92081eef0c1640081ec01c10
0xe1e4c5e5ed8f03ae61b581e2def126025f2b9401
TRON网络
TCu5onCzXuqxjvVzdB2tR4FLuF66d4yRqf
TBcLqqqyZjNj1ptuXFgj5H768NhNU5nDyn
Solana网络
42RLPACwZPx3vYYmxSueqsogfynBDqXK298EDsNoyoHi
BNB Beacon Chain
bnb136ns6lfw4zs5hg4n85vdthaad7hq5m4gtkgf23
通过Beosin KYT与Trace对上述地址进行分析,主要的分析结果如下:
BTC网络的两地址分别为Kucoin、Binance的充值地址,共接收了331.14枚BTC:
13
对上游地址进一步分析发现,非法获利所得的BTC通过层层转移进行清洗,其中每级转移都会将部分BTC发送到地址3EMRg-
FBuaX6mWMLEtVzH1KfzU1iRfmBf5j(该地址为Stake网赌平台的地址),还有部分BTC充值到Binance地址1Chj56-
jvN6uyKZeRiQLLRvhst4xQe8yoyK。其资金流向图如下:
14
TRON网络的两地址分别为Kucoin、Binance的充值地址,共接收132,299,948.26 USDT。
其上游最主要的地址TFUer63nNKu2GD8mbSKTJ8YQGbyMLe9BU3已被Tether加入黑名单,成功冻结267,596.23 USDT。
ETH网络的三个地址共清洗580 ETH、38,974,117.4 USDT和4,279,496.09 USDC。其中
0x5d5b5dafecbf31bdb08bfd3edad4f2694372d0ef为主要接收资金的地址,10.96%的资金是从FixedFloat、ChangeNOW、
Coinbase等交易所直接转入。
15
2025年7月10日,GMX因可重入漏洞被攻击,黑客获利约4200万美元。Beosin Trace对被盗资金进行追踪发现:攻击者地址
0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355 在获利后通过DEX协议将各类稳定币和山寨币兑换成ETH和USDC,并通
过多个跨链协议将被盗资产转移至Ethereum网络。
随后GMX被盗资产中价值约3200万的ETH分别存放在以下4个以太坊网络地址:
- 0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7
- 0x69c965e164fa60e37a851aa5cd82b13ae39c1d95
- 0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3
- 0x639cd2fc24ec06be64aaf94eb89392bea98a6605
约1000万美元的资产存放在Arbitrum网络的地址0xdf3340a436c27655ba62f8281565c9925c3a5221。
本次事件的资金清洗路径非常典型,黑客通过DeFi协议、跨链桥等方式对资金的路径进行混淆和隐藏,以躲避来自监管机构、
执法部门的追踪和冻结。
1.7.2 GMX 4000万美元资金被盗案件
16
2025 年,钓鱼诈骗、项目方 Rug Pull 所造成的金额损失较 2024 年均有明显下降,然而黑
客攻击频发,损失金额超过了31亿美元,其中损失最高的项目类型依然为交易所。而私钥泄
露相关的安全事件有所减少,造成这一转变的主要原因包括:
在去年猖獗的黑客活动之后,今年整个Web3生态更加注重安全性,从项目方到安全公司都在
各个方面做出了努力,如内部安全运营、实时链上监控、更加注重安全审计、从过往合约漏
洞利用事件中积极汲取经验,在私钥保管与项目运营安全方面不断加强了安全意识。由于合
约漏洞和盗取私钥的难度越来越高,黑客开始通过其它手段,如供应链攻击、前端漏洞等方
式欺骗用户将资产转移至黑客控制的地址。
此外,随着加密市场与传统市场的融合,攻击目标不再局限于攻击DeFi、跨链桥、交易所等
类型,而是转向攻击支付平台、博彩平台、加密服务提供商、基础设施、开发工具、MEV机
器人等多种目标,攻击的焦点也转向更为复杂的协议逻辑缺陷。
对个人用户而言,社会工程/钓鱼攻击以及可能存在的暴力胁迫成为个人资产安全的重大威
胁。目前,许多钓鱼攻击因涉及金额较小,受害者为个人用户而未被公开报道或者记录,其
损失数据往往被低估,但用户应提高防范此类攻击的意识。而针对加密用户的绑架等具有暴
力胁迫的物理方式在今年屡次出现,用户需保护好个人身份信息,并尽可能减少加密资产的
公开暴露。
总体而言,2025年的Web3安全依然面临着严峻挑战,项目方与个人用户不可掉以轻心。在
未来,供应链安全可能成为Web3安全的重中之重。如何持续保护行业的各类基础设施服务提
供商以及监控、告警供应链中存在的威胁,是行业各方需要共同解决的一大挑战。而AI驱动
的社会工程/钓鱼攻击可能会继续增加,这需要构建一个从个人意识到技术屏障、再到社区协
作的多层次、实时、动态的防御体系以进行应对。
1.8 2025年 Web3 区块链安全态势总结
护航区块链生态安全
二、
17
二、护航区块链生态安全
KYT
依托几十亿的地址标签和黑地址库进行的区块链大数据分析技术和先进的AI技
术,打造的虚拟货币追踪和反洗钱系统,能帮助VASP(Virtual Asset Service
Providers)建设KYT(Know Your Transactions)及持续性风险评估的能力,
通过分析海量链上交易信息,识别交易及账户类型,再利用系统中的海量实体
地址库以及机器学习分析技术从评估风险交易。目前已经为全球多个客户提供
服务,使其符合反洗钱监管要求。
虚拟资产反洗钱合规和分析平台
All-In-One Audit Solution
通过自研的形式化验证工具和全面的网络安全技术,为Web3项目提供安全审计服务。审计智能合约3000+,累计挖掘漏洞85000+。
基于公司丰富的智能合约安全数据集,借力AI基础大模型,微调训练出可深度理解智能合约逻辑的智能模型,进一步提升形式化验证
工具VaaS对复杂业务合约安全问题的检测验证能力。
提供全面的尽职调查解决方案,Beosin的专业团队将为帮助你评估潜在风险情况以及合规性,提供准确、可靠的尽职调查报告,以帮
助你做出明智的决策。
一站式智能合约审计服务
尽职调查
Due Diligence
Trace
基于多年来对区块链行业的安全研究和开发,Beosin团队结合大数据、AI等技
术自主研发的虚拟货币资金追踪溯源平台Beosin Trace ,能为全球多个客户提
供被盗后的资金追踪和协助调查服务,在其帮助下,已成功帮客户追回数亿美
元被盗资产,包括多次成功追回进入混币器(如Tornado Cash)的被盗资金。
虚拟货币资金追踪溯源平台
1. Beosin为Web3区块链生态保驾护航
18
2. 区块链生态安全联盟介绍
Footprint Analytics是一家区块链数据解决方案提供商。借助尖端的人工智能技术,
我们提供 Crypto 领域首家支持无代码数据分析平台以及统一的数据 API,让用户可
以快速检索超过 30+ 条公链生态的 NFT,GameFi 以及钱包地址资金流追踪数据。
SUSS NiFT,全称新加坡新跃社科大学普惠金融科技节点,是大学的“卓越中心”,倡
导金融科技的先锋,它是集 SUSS 的五个学院教员专业知识,集体出版物和各大项
目于一体的跨学科枢纽。大学普惠金融科技节点成立于 2021 年,但实质是大学自
2016 年致力于金融科技和区块链领域以来进行的重新定位。旨在金融科技领域,以
普惠社会为目的,从事高质量研究,提供公共教育和政策倡导。自 2016 年以来,大
学普惠金融科技节点组织举办了大量讲习班,研讨会和信息分享会。 并且每年举行
峰会和大型会议,接待了来自新加坡及海外的众多演讲者和参会者。最终,大学普
惠金融科技节点的愿景是:通过金融科技创新,建立一个更加普惠的社会。
Beosin作为全球最早一批从事形式化验证的区块链安全公司,主打”安全+合规“全生
态业务,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审
计、项目运行时的安全风险监控与阻断、被盗追回、虚拟资产反洗钱(AML)以及
符合各地监管要求的合规评估等“一站式”区块链合规产品+安全服务。公司致力于
Web3生态的安全发展,技术专利+软著超60份,100+顶级安全专家,20年网络安
全经验,挖掘漏洞超85000+。与全球200多家生态企业及监管机构合作,包括
HashKey Group、新加坡金管局、香港警署等,已审计智能合约和公链主网超3000
份,包括PancakeSwap、Ronin Network、SyncSwap等。
区块链生态安全联盟由多家具有多元化的行业背景单位发起,包括大学机构、区块链安全公司、行业协会、金融科技服务商等。
第一批理事单位包括Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay、Onchain Custodian、Semisand、Coinhako、
ParityBit、华为云。目前加入的成员包括:火币大学、Moledao、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint
Analytics、Web3Drive、Digital Treasures Center、LegalDAO、Buidler DAO。
安全联盟成员未来将齐心协力、通力合作,借助生态合作伙伴的力量,不断发挥技术优势为全球区块链生态提供安全价值。同
时,联盟理事会欢迎更多区块链相关领域的有识之士加入,共同捍卫区块链生态安全。
market@beosin.com
https://forms.gle/pb3NaUgS3a2Sswnc8
联盟报名方式: 合作请咨询:
19
CONTACT US
_
