12月23日,全球最大的Web3安全公司CertiK发布《2025 Skynet Hack3D Web3安全报告》,系统梳理了过去一年Web3领域的主要安全事件与风险趋势。报告指出,Web3行业在回暖的市场环境与更清晰的监管预期中加速发展,但安全风险并未随之缓解,仍面临着系统性安全挑战。
报告显示,2025年Web3领域共发生630起安全事件,造成总计约33.5亿美元损失,较2024年同比增长37%;尽管事件数量较上年减少137起,但单次攻击平均损失达532.2万美元,同比激增66.6%,凸显攻击者向高价值目标集中的趋势。
供应链攻击推高年度损失
从攻击类型来看,供应链攻击成为2025年造成损失最大的风险源。尽管全年仅记录到两起相关事件,但累计损失高达14.5亿美元,占全年总损失的近一半。其中,发生于2月的Bybit事件占损失的绝大部分。
据报告披露,Bybit在2025年2月遭遇的安全事件造成约14亿美元损失,被认为是迄今为止规模最大的加密资产盗窃事件之一。攻击者并未直接突破交易所系统,而是通过入侵第三方多签钱包服务商的开发者环境,在签名流程中植入恶意代码,从而绕过多重审批机制。
CertiK在报告中指出,类似事件反映出攻击者正将资源集中投向关键服务提供方和底层工具,而非单一协议本身,供应链安全已成为不可忽视的系统性风险。
钓鱼攻击高发,AI成为"放大器"
在攻击频次方面,网络钓鱼仍是2025年最常见的安全威胁。报告显示,全年共记录248起钓鱼攻击事件,造成约7.23亿美元的损失,发生次数略高于代码漏洞攻击(240起)。
值得注意的是,CertiK认为这一数字仍可能被低估。大量面向个人用户的钓鱼和诈骗事件并未被正式披露,尤其是损失金额较小或发生在链下的社会工程学攻击。
报告强调,人工智能的普及正在显著降低钓鱼攻击的技术门槛。攻击者开始利用AI生成高度仿真的钓鱼网站、钱包弹窗和多语言诈骗信息,并结合链上数据和社交媒体内容进行"精准投放"。传统依赖语法错误或模板特征进行识别的防御方式,正逐渐失效。
监管趋清晰,安全正从"成本项"转为"基础设施"
在风险上升的同时,报告也注意到全球监管环境正在发生积极变化。美国围绕稳定币和数字资产透明度的立法进展,为行业释放出更明确的政策信号;欧盟MiCA框架、新加坡和中国香港的监管沙盒,也正在推动Web3走向更规范的发展阶段。
CertiK在报告中指出,随着机构和合规资金持续入场,安全能力正从"事后补救"转变为项目设计和运营中的基础设施要素。无论是对项目方还是个人用户而言,安全已不再是可选项,而是影响长期生存能力的关键变量。
报告最后展望称,未来一年,AI驱动的仿冒攻击、复杂化的供应链入侵以及针对个人用户的社会工程学攻击仍将持续演变。在这一背景下,将安全嵌入架构设计、开发流程和用户体验之中的项目,才有可能在新一轮Web3竞争中脱颖而出。
报告全文:https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a