2025年Web3区块链安全态势年报

BlockchainsecurityAllianceBEOSINweb3security&complianceFootprintAnalyticsWeb3区块链安全态势年报一、2025年Web3区块链安全态势及反洗钱分析1.2025年Web3区块链安全态势综述————2.2025年十大攻击事件3.被攻击项目类型————————044.各链损失金额情况————————————055.攻击手法分析——————————066.典型安全事件攻击分析————————————077.反洗钱典型案例分析————————————118.2025年Web3区块链安全态势总结—————16二、护航区块链生态安全2.区块链生态安全联盟介绍——————————183.CONTACTUS————————19前言旨在全面探讨2025年全球区块链安全态势。通过对全球区块链安全现状的分析和评一、2025年Web3区块链安全态势及反洗钱分析01SISI据区块链安全与合规科技公司Beosin旗下Alert平台监测，2025年Web3领域因黑客攻击、钓鱼诈骗和项目方RugPull造成的总损失达到了33.75亿美元。区块链重大安全事件共313起，其中黑客攻击事件191起，总损失金额约31.87亿美元；项目方RugPull事件总损失约1150万美元；钓鱼诈骗113起，总损失金额约1.77亿美元。2025年Q1损失金额最为惨重，绝大部分损失来自Bybit的黑客事件。黑客攻击的损失金额随季度持续下降，但较2024年有大幅上升，增幅为77.85%；钓鱼诈骗与项目方RugPull事件的损失金额较2024年均显著下降，其中钓鱼诈骗的金额损失降幅约为69.15%，RugPull的金额损失降幅约92.21%。2025年被攻击的项目类型包括DeFi、CEX、公链、跨链桥、NFT、Memecoin交易平台、钱包、浏览器、第三方代码包、基础设施、MEV机器人等多种类型。DeFi依然为被攻击频次最高的项目类型，91次针对DeFi的攻击共造成损失约6.21亿美元。CEX为总损失金额最高的项目类型，9次针对CEX的攻击共造成损失约17.65亿美元，占总损失金额的52.30%。2025年Ethereum依旧是损失金额最高的公链，170次Ethereum上的安全事件造成了约22.54亿美元的损失，占到了全年总损失的66.79%。从攻击手法来看，Bybit事件因供应链攻击造成约14.40亿美元的损失，占总损失的42.67%，是造成损失最多的攻击方式。除此之外，合约漏洞利用是出现频次最高的攻击方式，191起攻击事件里，有62次来自于合约漏洞利用，占比达到了32.46%。022025年共发生损失过亿的安全事件3起：Bybit（14.40亿美元）、CetusProtocol（2.24亿美元）与Balancer（1.16亿美元）。与往年不同的是，今年前10大安全事件中出现了2起个人用户的巨额损失，其损失原因为社会工程学/钓鱼攻击。虽然此类攻击并非造成损失金额最大的攻击手段，但其攻击频次每年呈上升趋势，成为个人用户面临的一大威胁。损失金额：14.40亿美元攻击方式：Safe钱包前端被篡改链平台：Ethereum2025年2月21日，加密货币交易所Bybit遭遇攻击，其Safe多签钱包约14.4亿美元资金被盗。黑客通过入侵Safe的服务器植入了恶意代码，替换了正常的交易请求，导致签名者在不知情的情况下签署了被篡改的交易。No.2CetusProtocol损失金额：2.24亿美元攻击方式：合约漏洞链平台：Sui2025年5月22日，Sui生态上的DEXCetusProtocol被攻击，其漏洞源于对开源库代码中左移运算的实现错误。随后在Sui基金会及其它生态项目合作下，已成功冻结了在Sui上的1.62亿美元的被盗资金。No.3Balancer损失金额：1.16亿美元攻击方式：合约漏洞链平台：Ethereum2025年11月3日，Balancerv2协议遭到攻击，包括其fork协议在内的多个项目在多条链上损失约1.16亿美元。攻击者通过操纵Balancer的LPToken价格实现获利。No.4StreamFinance损失金额：9300万美元攻击方式：挪用用户资产链平台：Ethereum2025年11月4日，StreamFinance宣布其协议的外部基金管理人造成了约9300万美金的损失，即日起暂停所有存取款功能。经调查，10月10日-11日，因市场暴跌，该外部基金管理人的仓位亏损，直接挪用了StreamFinance资金填补亏空，最终爆仓。No.5个人用户损失金额：9100万美元攻击方式：社会工程学链平台：Bitcoin2025年8月19日，据ZachXBT报道，一名个人用户受到社会工程学攻击，损失783个BTC（价值约9100万美元攻击者通过冒充交易所和硬件钱包的客服人员诱骗受害者转移资产。损失金额：9000万美元攻击方式：暂未明确链平台：多链2025年6月18日，伊朗最大加密交易所Nobitex发布公告称遭遇黑客攻击，损失超9000万美元，涉及BTC、ETH、Doge、XRP、SOL、TRX和TON等多种加密货币。一个名为“GonjeshkeDarande”的亲以色列组织已宣布对此次攻击负责，并将此次袭击定性为针对伊朗加密基础设施的打击。03No.7Phemex损失金额：7000万美元攻击方式：私钥泄露链平台：多链2025年1月23日，总部位于新加坡的加密货币交易所Phemex热钱包中约7000万美元的加密资产被盗，涉及ETH、SOL、BTC、BNB、USDT等多种加密资产。No.8UPCX损失金额：7000万美元攻击方式：访问控制漏洞链平台：Ethereum2025年4月1日，UPCX由于未经授权的访问损失了价值约7000万美元的代币。黑客升级了UPCX的ProxyAdmin合约，随后执行了一个允许管理员提取资金的功能，导致资金从三个不同的管理账户中被转移。No.9个人用户损失金额：5000万美元攻击方式：钓鱼攻击链平台：Ethereum2025年12月20日，一个以太坊地址遭受“地址投毒”攻击，损失金额5000万美元。受害者在完成转账测试后，攻击者随即生成了尾号相似的地址进行转账，受害者因为没有仔细检查转账地址而将其5000万USDT转入至攻击者的地址。 No.10Infini损失金额：4950万美元攻击方式：权限管理漏洞链平台：Ethereum2025年2月24日，Infini被盗4950万美元，其原因为内部一开发人员通过欺骗团队秘密保留了合约管理权限，通过升级合约盗走资金。04中心化交易所成为损失金额最高的项目类型2025年损失最高的项目类型为中心化交易所，9次针对中心化交易所的攻击共造成了约17.65亿美元的损失，占总损失金额的52.30%。其中损失金额最大的交易所为Bybit，损失约14.4亿美元。其余损失金额较大的有Nobitex（损失约9000万美元）、Phemex（损失约7000万美元）、BtcTurk（4800万美元）、CoinDCX（4420万美元）、SwissBorg（4130万美元）、Upbit（3600万美元）。DeFi为被攻击频次最高的项目类型，91次针对DeFi的攻击共造成损失约6.21亿美元，排在损失金额的第二位。其中CetusProtocol被盗约2.24亿美元，占DeFi被盗资金的36.07%，Balancer损失约1.16亿美元，其余损失金额较大的DeFi项目有Infini（约4950万美元）、GMX（约4000万美元）、AbracadabraFinance（1300万美元）、CorkProtocol（约1200万美元）、Resupply（约960万美元）、zkLend（约950万美元）、Ionic（约880万美元）、AlexProtocol（约837万美元）。05Ethereum为损失金额最高、安全事件最多的链和往年相同的是，Ethereum依旧是损失金额最高、安全事件发生次数最多的公链。170次Ethereum上的安全事件造成了约22.54亿美元的损失，占到了全年总损失的66.79%。安全事件次数排名第二的公链为BNBChain，64次安全事件共造成了约8983万美元的损失。BNBChain的链上攻击次数多，损失金额相对较小，但相比2024年，发生安全事件的次数与损失金额均大幅增加，损失金额增加110.87%。Base为安全事件次数排名第三的区块链，共计20次安全事件。Solana以19次安全事件紧随其后。06合约漏洞利用是出现频次最高的攻击方式191起攻击事件里，有62次来自于合约漏洞利用，占比达到了32.46%，造成的总损失达5.56亿美元，是除Bybit因供应链攻击外，损失金额最大的一类攻击手段。按照合约漏洞细分，造成损失最多的漏洞为：业务逻辑漏洞，共计损失金额为4.64亿美元。出现次数前三名的合约漏洞为业务逻辑漏洞（53次）、访问控制漏洞（7次）、算法缺陷（5次）。今年私钥泄露事件共计20次，总损失金额约1.80亿美元，发生次数与造成的损失相比于去年大幅减少。可见交易所、项目方以及用户对私钥的保护意识有所提升。071.6.1CetusProtocol2.24亿2025年5月22日，Sui生态上的DEXCetusProtocol被攻击，其漏洞源于开源库代码中左移运算的实现错误。以其中一笔攻击交易(https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview)为例，简化的攻击步骤如下：1.启用闪电贷：攻击者通过闪电贷借入1000万haSUI。2.创建流动性仓位：开设一个新的流动性仓位，其价格区间为[300000,300200]。3.增加流动性：仅使用1个单位的haSUI增加了流动性，但获得了高达10,365,647,984,364,446,732,462,244,378,333,008的流动性值。4.移除流动性：立即移除多笔交易中的流动性，以耗尽流动性池。5.偿还闪电贷：偿还闪电贷并保留约570万SUI作为利润。漏洞分析本次攻击的根本原因在于get_delta_a函数中的checked_shlw实现错误，导致溢出检查失败。攻击者仅需要少量代币，就能在流动性池中兑换出大量资产，从而实现攻击。如下图所示，checked_shlw用于判断u256数左移64位是否会导致溢出，小于0xffffffffffffffff<<192的输入值会绕过溢出检测，但输入值在在左移64位后可能会超出u256最大值（溢出而checked_shlw仍会输出未发生溢出（false）。这样一来，在后续计算中就会严重低估所需的代币数量。此外，在Move中，整数运算的安全性旨在防止溢出和下溢，因为溢出和下溢可能导致意外行为或漏洞。具体来说：如果加法和乘法的计算结果对于整数类型来说过大，则会导致程序中止。如果除数为零，则除法中止。而左移（<<）的独特之处在于，发生溢出时不会中止。这意味着，即使移位的位数超出了整数类型的存储容量，程序也不会终止，从而可能导致错误值或不可预测的行为。082025年11月3日，Balancerv2协议遭到攻击，包括其fork协议在内的多个项目在多条链上损失约1.16亿美元。以攻击者在以太坊上的攻击交易为例：0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc97421.攻击者首先通过批量互换功能发起攻击交易，其使用BPT大量换出池子的流动性代币，使得池子的流动性代币储备变得很低。2.随后攻击者开始进行流动性代币（osETH/WETH）的互换。3.然后再将流动性代币换回BPT代币，并在多个池子不断重复以上操作。4.最后进行提款，实现获利。漏洞分析ComposableStablePools使用Curve的StableSwap不变式公式来维持相似资产之间的价格稳定性。然而，进行不变式计算的缩放操作时会引入误差。mulDown函数执行向下取整的整数除法，这种精度误差会传递到不变式的计算中，导致计算值异常降低，从而为攻击者创造获利机会。1.7.1美国制裁以RyanJamesWedding为首的贩毒集团据美国财政部披露的资料显示，RyanJamesWedding及其团队经由哥伦比亚和墨西哥走私了数吨可卡因并销往美国和加拿大。其犯罪组织利用加密货币洗钱，以清洗巨额的非法财富。Wedding通过两名人员管理其复杂的金融运作：加拿大珠宝商Sokolovski和前意大利特种部队成员Tiepolo。他们密切合作，管理Wedding的实物资产和清洗非法资金。Sokolovski通过其珠宝公司和加密货币成功清洗并转移了数百万美元的贩毒收益，而Wedding已知的钱包地址共接收了超过2.63亿美元的USDT。通过Beosin旗下的链上追踪与调查工具BeosinTrace，对与Wedding的贩毒集团关联的加密货币地址进行分析，分析结果如下所示：TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP、TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6与TPJ1JNX98MJpHueB-JeF5SVSg85z8mYg1P1这3个Wedding持有的地址共经手266,761,784.24USDT，一部分资产已被Tether官方冻结，但大部分资产已经通过高频次交易的地址和多级转移完成清洗，充值到Binance、OKX、Kraken、BTSE等平台。其团伙Sokolovski所持有的地址：BTC网络37fKFZQGMqdBkjSUub1jCDWGgSHwv9VxfZ1JPqJ8sxLBvdHBqMqSFBmUkoh2vAuCUNvsETH网络0x5d5b5dafecbf31bdb08bfd3edad4f2694372d0ef0xc103b7dc095c904b92081eef0c1640081ec01c100xe1e4c5e5ed8f03ae61b581e2def126025f2b9401TRON网络TCu5onCzXuqxjvVzdB2tR4FLuF66d4yRqfTBcLqqqyZjNj1ptuXFgj5H768NhNU5nDynSolana网络42RLPACwZPx3vYYmxSueqsogfynBDqXK298EDsNoyoHiBNBBeaconChainbnb136ns6lfw4zs5hg4n85vdthaad7hq5m4gtkgf23通过BeosinKYT与Trace对上述地址进行分析，主要的分析结果如下：BTC网络的两地址分别为Kucoin、Binance的充值地址，共接收了331.14枚BTC：对上游地址进一步分析发现，非法获利所得的BTC通过层层转移进行清洗，其中每级转移都会将部分BTC发送到地址3EMRg-FBuaX6mWMLEtVzH1KfzU1iRfmBf5j（该地址为Stake网赌平台的地址还有部分BTC充值到Binance地址1Chj56-jvN6uyKZeRiQLLRvhst4xQe8yoyK。其资金流向图如下：ETH网络的三个地址共清洗580ETH、38,974,117.4USDT和4,279,496.09USDC。其中0x5d5b5dafecbf31bdb08bfd3edad4f2694372d0ef为主要接收资金的地址，10.96%的资金是从FixedFloat、ChangeNOW、Coinbase等交易所直接转入。TRON网络的两地址分别为Kucoin、Binance的充值地址，共接收132,299,948.26USDT。其上游最主要的地址TFUer63nNKu2GD8mbSKTJ8YQGbyMLe9BU3已被Tether加入黑名单，成功冻结267,596.23USDT。1.7.2GMX4000万美元资金被盗案件2025年7月10日，GMX因可重入漏洞被攻击，黑客获利约4200万美元。BeosinTrace对被盗资金进行追踪发现：攻击者地址0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355在获利后通过DEX协议将各类稳定币和山寨币兑换成ETH和USDC，并通过多个跨链协议将被盗资产转移至Ethereum网络。随后GMX被盗资产中价值约3200万的ETH分别存放在以下4个以太坊网络地址：-0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7-0x69c965e164fa60e37a851aa5cd82b13ae39c1d95-0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3-0x639cd2fc24ec06be64aaf94eb89392bea98a6605约1000万美元的资产存放在Arbitrum网络的地址0xdf3340a436c27655ba62f8281565c9925c3a5221。本次事件的资金清洗路径非常典型，黑客通过DeFi协议、跨链桥等方式对资金的路径进行混淆和隐藏，以躲避来自监管机构、执法部门的追踪和冻结。客攻击频发，损失金额超过了31亿美元，其中损失最高的项目类型依然为交易所。而私钥泄各个方面做出了努力，如内部安全运营、实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验，在私钥保管与项目运营安全方面不断加强了安全意识。由于合约漏洞和盗取私钥的难度越来越高，黑客开始通过其它手段，如供应链攻击、前端漏洞等方此外，随着加密市场与传统市场的融合，攻击目标不再局限于攻击DeFi、跨链桥、交易所等类型，而是转向攻击支付平台、博彩平台、加密服务提供商、基础设施、开发工具、MEV机对个人用户而言，社会工程/钓鱼攻击以及可能存在的暴力胁迫成为个人资产安全的重大威胁。目前，许多钓鱼攻击因涉及金额较小，受害者为个人用户而未被公开报道或者损失数据往往被低估，但用户应提高防范此类攻击的意识。而针对加密用户的绑架等具有暴力胁迫的物理方式在今年屡次出现，用户需保护好个人身份信息，并尽可能减少加密资产的总体而言，2025年的Web3安全依然面临着严峻挑战，项目方与个人用户不可掉以轻心。在未来，供应链安全可能成为Web3安全的供商以及监控、告警供应链中存在的威胁，是行业各方需要共同解决的一大挑战。而AI驱动的社会工程/钓鱼攻击可能会继续增加，这需要构建一个从个人意识到技术屏障、再到社区协护航区块链生态安全SISI虚拟资产反洗钱合规和分析平台依托几十亿的地址标签和黑地址库进行的区块链大数据分析技术和先进的AI技术，打造的虚拟货币追踪和反洗钱系统,能帮助VASP（VirtualAssetServiceProviders）建设KYT（KnowYourTransactions）及持续性通过分析海量链上交易信息，识别交易及账户类型，再利用系统中的海量实体地址库以及机器学习分析技术从评估风险交易。目前已经为全球多个客户提供基于多年来对区块链行业的安全研究和开发，Beosin团队结合大数据、AI等技术自主研发的虚拟货币资金追踪溯源平台BeosinTrace，能为全球多个客户提供被盗后的资金追踪和协助调查服务，在其帮助下，已成功帮客户追回数亿美元被盗资产，包括多次成功追回进入混币器（如TRACE一站式智能合约审计服务通过自研的形式化验证工具和全面的网络安全技术，为Web3项目提供安全审计服务。审计智能合约3000+，累计挖掘漏洞85000+。基于公司丰富的智能合约安全数据集，借力AI基础大模型，微调训练出可深度理解智能合约逻辑的智能模型，进一步提升形式化验证工具VaaS对复杂业务合约安全问题的检测验证能力。尽职调查提供全面的尽职调查解决方案，Beosin的专业团队将为帮助你评估潜在风险情况以及合规性，提供准确、可靠的尽职调查报告，以帮BlockchainsecurityAlliance区块链生态安全联盟由多家具有多元化的行业背景单位发起，包括大学机构、区块链安全公司、行业协会、金融科技服务商等。第一批理事单位包括Beosin、SUSSNiFT、NUSAIDF、BAS、FOMOPay、OnchainCustodian、Semisand、Coinhako、ParityBit、华为云。目前加入的成员包括：火币大学、Moledao、LeastAuthority、PlanckX、CodingGirls、Coinlive、FootprintAnalytics、Web3Drive、DigitalTreasuresCenter、LegalDAO、BuidlerDAO。安全联盟成员未来将齐心协力、通力合作，借助生态合作伙伴的力量，不断发挥技术优势为全球区块链生态提供安全价值。同时，联盟理事会欢迎更多区块链相关领域