2025年Web3安全年度报告：供应链攻击成最大威胁

作者：Beosin

前言

本研究报告由区块链安全联盟发起，由联盟成员 Beosin、Footprint Analytics 共同创作，旨在全面探讨 2025 年全球区块链安全态势。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。区块链安全和监管是 Web3 时代发展的关键问题。通过本报告的深入研究和探讨，我们可以更好地理解和应对这些挑战，以推动区块链技术的安全性和可持续发展。

1、2025 年 Web3 区块链安全态势综述

据区块链安全与合规科技公司 Beosin 旗下 Alert 平台监测，2025年 Web3 领域因黑客攻击、钓鱼诈骗和项目方Rug Pull造成的总损失达到了33.75亿美元。区块链重大安全事件共 313 起，其中黑客攻击事件 191起，总损失金额约31.87亿美元；项目方 Rug Pull 事件总损失约 1150 万美元；钓鱼诈骗 113 起，总损失金额约1.77亿美元。

2025 年 Q1 损失金额最为惨重，绝大部分损失来自 Bybit 的黑客事件。黑客攻击的损失金额随季度持续下降，但较 2024 年有大幅上升，增幅为 77.85%；钓鱼诈骗与项目方 Rug Pull 事件的损失金额较 2024 年均显著下降，其中钓鱼诈骗的金额损失降幅约为 69.15 %，Rug Pull 的金额损失降幅约 92.21 %。

2025年被攻击的项目类型包括 DeFi、CEX、公链、跨链桥、NFT、Memecoin 交易平台、钱包、浏览器、第三方代码包、基础设施、MEV 机器人等多种类型。DeFi依然为被攻击频次最高的项目类型，91次针对 DeFi 的攻击共造成损失约6.21亿美元。CEX 为总损失金额最高的项目类型，9次针对 CEX 的攻击共造成损失约17.65亿美元，占总损失金额的 52.30%。

2025年Ethereum 依旧是损失金额最高的公链，170次 Ethereum 上的安全事件造成了约 22.54 亿美元的损失，占到了全年总损失的66.79%。

从攻击手法来看，Bybit 事件因供应链攻击造成约 14.40亿美元的损失，占总损失的42.67%，是造成损失最多的攻击方式。除此之外，合约漏洞利用是出现频次最高的攻击方式，191 起攻击事件里，有62次来自于合约漏洞利用，占比达到了32.46%。

2、2025 年十大安全事件

2025 年共发生损失过亿的安全事件 3 起：Bybit（14.40 亿美元）、Cetus Protocol（2.24 亿美元）与 Balancer（1.16 亿美元），接下来是 Stream Finance（9300 万美元）、BTC 巨鲸（9100 万美元）、Nobitex（9000 万美元）、Phemex（7000 万美元）、UPCX（7000 万美元）、以太坊用户（5000 万美元）、Infini（4950 万美元）。

与往年不同的是，今年前 10 大安全事件中出现了 2 起个人用户的巨额损失，其损失原因为社会工程学 / 钓鱼攻击。虽然此类攻击并非造成损失金额最大的攻击手段，但其攻击频次每年呈上升趋势，成为个人用户面临的一大威胁。

3、被攻击项目类型

中心化交易所成为损失金额最高的项目类型

2025 年损失最高的项目类型为中心化交易所，9 次针对中心化交易所的攻击共造成了约 17.65 亿美元的损失，占总损失金额的 52.30 %。其中损失金额最大的交易所为 Bybit，损失约 14.4 亿美元。其余损失金额较大的有 Nobitex（损失约 9000 万美元）、Phemex（损失约 7000 万美元）、BtcTurk（4800 万美元）、CoinDCX（4420 万美元）、SwissBorg（4130 万美元）、Upbit（3600 万美元）。

DeFi 为被攻击频次最高的项目类型，91 次针对 DeFi 的攻击共造成损失约 6.21 亿美元，排在损失金额的第二位。其中 Cetus Protocol 被盗约 2.24 亿美元，占 DeFi 被盗资金的 36.07%，Balancer 损失约 1.16 亿美元，其余损失金额较大的 DeFi 项目有 Infini（约 4950 万美元）、GMX（约 4000 万美元）、Abracadabra Finance（1300 万美元）、Cork Protocol（约 1200 万美元）、Resupply（约 960 万美元）、zkLend（约 950 万美元）、Ionic（约 880 万美元）、Alex Protocol（约 837 万美元）。

4、各链损失金额情况

Ethereum 为损失金额最高、安全事件最多的链

和往年相同的是，Ethereum 依旧是损失金额最高、安全事件发生次数最多的公链。170 次 Ethereum 上的安全事件造成了约 22.54 亿美元的损失，占到了全年总损失的 66.79 %。

安全事件次数排名第二的公链为 BNB Chain，64 次安全事件共造成了约 8983 万美元的损失。BNB Chain 的链上攻击次数多，损失金额相对较小，但相比 2024 年，发生安全事件的次数与损失金额均大幅增加，损失金额增加 110.87%。

Base 为安全事件次数排名第三的区块链，共计 20 次安全事件。Solana 以 19 次安全事件紧随其后。

5、攻击手法分析

合约漏洞利用是出现频次最高的攻击方式

191 起攻击事件里，有62次来自于合约漏洞利用，占比达到了 32.46%，造成的总损失达 5.56 亿美元，是除 Bybit 因供应链攻击外，损失金额最大的一类攻击手段。

按照合约漏洞细分，造成损失最多的漏洞为：业务逻辑漏洞，共计损失金额为 4.64 亿美元。出现次数前三名的合约漏洞为业务逻辑漏洞（53 次）、访问控制漏洞（7 次）、算法缺陷（5 次）。

今年私钥泄露事件共计 20 次，总损失金额约 1.80 亿美元，发生次数与造成的损失相比于去年大幅减少。交易所、项目方以及用户对私钥的保护意识有所提升。

6、典型安全事件攻击分析

6.1Cetus Protocol 2.24 亿美元安全事件分析

事件概要

2025 年 5 月 22 日，Sui 生态上的 DEX Cetus Protocol 被攻击，其漏洞源于开源库代码中左移运算的实现错误。以其中一笔攻击交易 (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) 为例，简化的攻击步骤如下：

1. 启用闪电贷：攻击者通过闪电贷借入 1000 万 haSUI。

2. 创建流动性仓位：开设一个新的流动性仓位，其价格区间为 [300000, 300200]。

3. 增加流动性：仅使用 1 个单位的 haSUI 增加了流动性，但获得了高达 10,365,647,984,364,446,732,462,244,378,333,008 的流动性值。

4. 移除流动性：立即移除多笔交易中的流动性，以耗尽流动性池。

5. 偿还闪电贷：偿还闪电贷并保留约 570 万 SUI 作为利润。

漏洞分析

本次攻击的根本原因在于 get_delta_a 函数中的 checked_shlw 实现错误，导致溢出检查失败。攻击者仅需要少量代币，就能在流动性池中兑换出大量资产，从而实现攻击。

如下图所示， checked_shlw 用于判断 u256 数左移 64 位是否会导致溢出，小于 0xffffffffffffffff << 192 的输入值会绕过溢出检测，但输入值在在左移 64 位后可能会超出 u256 最大值（溢出），而 checked_shlw 仍会输出未发生溢出（false）。这样一来，在后续计算中就会严重低估所需的代币数量。

此外，在 Move 中，整数运算的安全性旨在防止溢出和下溢，因为溢出和下溢可能导致意外行为或漏洞。具体来说：如果加法和乘法的计算结果对于整数类型来说过大，则会导致程序中止。如果除数为零，则除法中止。

而左移（<<）的独特之处在于，发生溢出时不会中止。这意味着，即使移位的位数超出了整数类型的存储容量，程序也不会终止，从而可能导致错误值或不可预测的行为。

6.2 Balancer 1.16 亿美元安全事件分析

2025 年 11 月 3 日，Balancer v2 协议遭到攻击，包括其 fork 协议在内的多个项目在多条链上损失约 1.16 亿美元。以攻击者在以太坊上的攻击交易为例：0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1.攻击者首先通过批量互换功能发起攻击交易，其使用 BPT 大量换出池子的流动性代币，使得池子的流动性代币储备变得很低。

2. 随后攻击者开始进行流动性代币（osETH/WETH）的互换。

3. 然后再将流动性代币换回 BPT 代币，并在多个池子不断重复以上操作。

4. 最后进行提款，实现获利。

漏洞分析

ComposableStablePools 使用 Curve 的 StableSwap 不变式公式来维持相似资产之间的价格稳定性。然而，进行不变式计算的缩放操作时会引入误差。

mulDown 函数执行向下取整的整数除法，这种精度误差会传递到不变式的计算中，导致计算值异常降低，从而为攻击者创造获利机会。

7、反洗钱典型案例分析

7.1 美国制裁以 Ryan James Wedding 为首的贩毒集团

据美国财政部披露的资料显示，Ryan JamesWedding 及其团队经由哥伦比亚和墨西哥走私了数吨可卡因并销往美国和加拿大。其犯罪组织利用加密货币洗钱，以清洗巨额的非法财富。

通过 Beosin 旗下的链上追踪与调查工具 Beosin Trace，对与 Wedding 的贩毒集团关联的加密货币地址进行分析，分析结果如下所示：

TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP、TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6 与 TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 这 3 个 Wedding 持有的地址共经手 266,761,784.24USDT，一部分资产已被 Tether 官方冻结，但大部分资产已经通过高频次交易的地址和多级转移完成清洗，充值到 Binance、OKX、Kraken、BTSE 等平台。

其团伙 Sokolovski 持有多个区块链网络（BTC、ETH、Solana、TRON、BNB Beacon Chain）的地址，其资金流向分析结果可通过完整版报告查看。

7.2 GMX 4000 万美元资金被盗案件

2025 年 7 月 10 日，GMX 因可重入漏洞被攻击，黑客获利约 4200 万美元。Beosin Trace 对被盗资金进行追踪发现：攻击者地址 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355在获利后通过 DEX 协议将各类稳定币和山寨币兑换成 ETH 和 USDC，并通过多个跨链协议将被盗资产转移至 Ethereum 网络。

随后 GMX 被盗资产中价值约 3200 万的 ETH 分别存放在以下 4 个以太坊网络地址：

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

约 1000 万美元的资产存放在 Arbitrum 网络的地址 0xdf3340a436c27655ba62f8281565c9925c3a5221。

本次事件的资金清洗路径非常典型，黑客通过 DeFi 协议、跨链桥等方式对资金的路径进行混淆和隐藏，以躲避来自监管机构、执法部门的追踪和冻结。

8、2025 Web3 区块链安全态势总结

2025年，钓鱼诈骗、项目方 Rug Pull所造成的金额损失较 2024年均有明显下降，然而黑客攻击频发，损失金额超过了 31 亿美元，其中损失最高的项目类型依然为交易所。而私钥泄露相关的安全事件有所减少，造成这一转变的主要原因包括：

在去年猖獗的黑客活动之后，今年整个 Web3 生态更加注重安全性，从项目方到安全公司都在各个方面做出了努力，如内部安全运营、实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验，在私钥保管与项目运营安全方面不断加强了安全意识。由于合约漏洞和盗取私钥的难度越来越高，黑客开始通过其它手段，如供应链攻击、前端漏洞等方式欺骗用户将资产转移至黑客控制的地址。

此外，随着加密市场与传统市场的融合，攻击目标不再局限于攻击 DeFi、跨链桥、交易所等类型，而是转向攻击支付平台、博彩平台、加密服务提供商、基础设施、开发工具、MEV 机器人等多种目标，攻击的焦点也转向更为复杂的协议逻辑缺陷。

对个人用户而言，社会工程 / 钓鱼攻击以及可能存在的暴力胁迫成为个人资产安全的重大威胁。目前，许多钓鱼攻击因涉及金额较小，受害者为个人用户而未被公开报道或者记录，其损失数据往往被低估，但用户应提高防范此类攻击的意识。而针对加密用户的绑架等具有暴力胁迫的物理方式在今年屡次出现，用户需保护好个人身份信息，并尽可能减少加密资产的公开暴露。

总体而言，2025 年的 Web3 安全依然面临着严峻挑战，项目方与个人用户不可掉以轻心。在未来，供应链安全可能成为 Web3 安全的重中之重。如何持续保护行业的各类基础设施服务提供商以及监控、告警供应链中存在的威胁，是行业各方需要共同解决的一大挑战。而 AI 驱动的社会工程 / 钓鱼攻击可能会继续增加，这需要构建一个从个人意识到技术屏障、再到社区协作的多层次、实时、动态的防御体系以进行应对。