本研究报告由区块链安全联盟发起✿ღ◈◈，由联盟成员 Beosin✿ღ◈◈、Footprint Analytics 共同创作✿ღ◈◈，旨在全面探讨 2025 年全球区块链安全态势猫咪vip破解版1.1.2✿ღ◈◈。通过对全球区块链安全现状的分析和评估✿ღ◈◈，报告将揭示当前面临的安全挑战和威胁✿ღ◈◈，并提供解决方案和最佳实践BEAT365✿ღ◈◈。区块链安全和监管是 Web3 时代发展的关键问题✿ღ◈◈。通过本报告的深入研究和探讨✿ღ◈◈，我们可以更好地理解和应对这些挑战✿ღ◈◈，以推动区块链技术的安全性和可持续发展✿ღ◈◈。

　　据区块链安全与合规科技公司 Beosin 旗下 Alert 平台监测✿ღ◈◈，2025年 Web3 领域因黑客攻击✿ღ◈◈、钓鱼诈骗和项目方Rug Pull造成的总损失达到了33.75亿美元✿ღ◈◈。区块链重大安全事件共 313 起✿ღ◈◈，其中黑客攻击事件 191起✿ღ◈◈，总损失金额约31.87亿美元✿ღ◈◈；项目方 Rug Pull 事件总损失约 1150 万美元✿ღ◈◈；钓鱼诈骗 113 起✿ღ◈◈，总损失金额约1.77亿美元✿ღ◈◈。

　　2025 年 Q1 损失金额最为惨重✿ღ◈◈，绝大部分损失来自 Bybit 的黑客事件✿ღ◈◈。黑客攻击的损失金额随季度持续下降✿ღ◈◈，但较 2024 年有大幅上升✿ღ◈◈，增幅为 77.85%✿ღ◈◈；钓鱼诈骗与项目方 Rug Pull 事件的损失金额较 2024 年均显著下降✿ღ◈◈，其中钓鱼诈骗的金额损失降幅约为 69.15 %✿ღ◈◈，Rug Pull 的金额损失降幅约 92.21 %✿ღ◈◈。

　　2025年被攻击的项目类型包括 DeFi✿ღ◈◈、CEX✿ღ◈◈、公链✿ღ◈◈、跨链桥✿ღ◈◈、NFT✿ღ◈◈、Memecoin 交易平台✿ღ◈◈、钱包✿ღ◈◈、浏览器✿ღ◈◈、第三方代码包✿ღ◈◈、基础设施✿ღ◈◈、MEV 机器人等多种类型✿ღ◈◈。DeFi依然为被攻击频次最高的项目类型✿ღ◈◈，91次针对 DeFi 的攻击共造成损失约6.21亿美元✿ღ◈◈。CEX 为总损失金额最高的项目类型✿ღ◈◈，9次针对 CEX 的攻击共造成损失约17.65亿美元✿ღ◈◈，占总损失金额的 52.30%✿ღ◈◈。

　　2025年Ethereum 依旧是损失金额最高的公链✿ღ◈◈，170次 Ethereum 上的安全事件造成了约 22.54 亿美元的损失✿ღ◈◈，占到了全年总损失的66.79%✿ღ◈◈。

　　从攻击手法来看✿ღ◈◈，Bybit 事件因供应链攻击造成约 14.40亿美元的损失✿ღ◈◈，占总损失的42.67%✿ღ◈◈，是造成损失最多的攻击方式✿ღ◈◈。除此之外✿ღ◈◈，合约漏洞利用是出现频次最高的攻击方式✿ღ◈◈，191 起攻击事件里✿ღ◈◈，有62次来自于合约漏洞利用猫咪vip破解版1.1.2✿ღ◈◈，占比达到了32.46%✿ღ◈◈。

　　与往年不同的是✿ღ◈◈，今年前 10 大安全事件中出现了 2 起个人用户的巨额损失✿ღ◈◈，其损失原因为社会工程学 / 钓鱼攻击✿ღ◈◈。虽然此类攻击并非造成损失金额最大的攻击手段✿ღ◈◈，但其攻击频次每年呈上升趋势✿ღ◈◈，成为个人用户面临的一大威胁✿ღ◈◈。

　　2025 年损失最高的项目类型为中心化交易所✿ღ◈◈，9 次针对中心化交易所的攻击共造成了约 17.65 亿美元的损失✿ღ◈◈，占总损失金额的 52.30 %✿ღ◈◈。其中损失金额最大的交易所为 Bybit✿ღ◈◈，损失约 14.4 亿美元✿ღ◈◈。其余损失金额较大的有 Nobitex（损失约 9000 万美元）✿ღ◈◈、Phemex（损失约 7000 万美元）✿ღ◈◈、BtcTurk（4800 万美元）✿ღ◈◈、CoinDCX（4420 万美元）✿ღ◈◈、SwissBorg（4130 万美元）✿ღ◈◈、Upbit（3600 万美元）✿ღ◈◈。

　　和往年相同的是✿ღ◈◈，Ethereum 依旧是损失金额最高✿ღ◈◈、安全事件发生次数最多的公链✿ღ◈◈。170 次 Ethereum 上的安全事件造成了约 22.54 亿美元的损失✿ღ◈◈，占到了全年总损失的 66.79 %✿ღ◈◈。

　　安全事件次数排名第二的公链为 BNB Chain✿ღ◈◈，64 次安全事件共造成了约 8983 万美元的损失✿ღ◈◈。BNB Chain 的链上攻击次数多✿ღ◈◈，损失金额相对较小✿ღ◈◈，但相比 2024 年✿ღ◈◈，发生安全事件的次数与损失金额均大幅增加✿ღ◈◈，损失金额增加 110.87%✿ღ◈◈。

　　Base 为安全事件次数排名第三的区块链✿ღ◈◈，共计 20 次安全事件✿ღ◈◈。Solana 以 19 次安全事件紧随其后✿ღ◈◈。

　　191 起攻击事件里猫咪vip破解版1.1.2✿ღ◈◈，有62次来自于合约漏洞利用✿ღ◈◈，占比达到了 32.46%✿ღ◈◈，造成的总损失达 5.56 亿美元✿ღ◈◈，是除 Bybit 因供应链攻击外✿ღ◈◈，损失金额最大的一类攻击手段✿ღ◈◈。

　　按照合约漏洞细分✿ღ◈◈，造成损失最多的漏洞为✿ღ◈◈：业务逻辑漏洞✿ღ◈◈，共计损失金额为 4.64 亿美元✿ღ◈◈。出现次数前三名的合约漏洞为业务逻辑漏洞（53 次）✿ღ◈◈、访问控制漏洞（7 次）✿ღ◈◈、算法缺陷（5 次）✿ღ◈◈。

　　今年私钥泄露事件共计 20 次✿ღ◈◈，总损失金额约 1.80 亿美元✿ღ◈◈，发生次数与造成的损失相比于去年大幅减少✿ღ◈◈。交易所✿ღ◈◈、项目方以及用户对私钥的保护意识有所提升✿ღ◈◈。

　　2025 年 5 月 22 日✿ღ◈◈，Sui 生态上的 DEX Cetus Protocol 被攻击✿ღ◈◈，其漏洞源于开源库代码中左移运算的实现错误✿ღ◈◈。以其中一笔攻击交易 (为例✿ღ◈◈，简化的攻击步骤如下✿ღ◈◈：

　　2. 创建流动性仓位✿ღ◈◈：开设一个新的流动性仓位✿ღ◈◈，其价格区间为 [300000, 300200]✿ღ◈◈。

　　本次攻击的根本原因在于 get_delta_a 函数中的 checked_shlw 实现错误✿ღ◈◈，导致溢出检查失败✿ღ◈◈。攻击者仅需要少量代币✿ღ◈◈，就能在流动性池中兑换出大量资产✿ღ◈◈，从而实现攻击✿ღ◈◈。

　　如下图所示✿ღ◈◈， checked_shlw 用于判断 u256 数左移 64 位是否会导致溢出✿ღ◈◈，小于 0xffffffffffffffff 192 的输入值会绕过溢出检测✿ღ◈◈，但输入值在在左移 64 位后可能会超出 u256 最大值（溢出）✿ღ◈◈，而 checked_shlw 仍会输出未发生溢出（false）猫咪vip破解版1.1.2✿ღ◈◈。这样一来✿ღ◈◈，在后续计算中就会严重低估所需的代币数量BEAT365✿ღ◈◈。

　　此外BEAT365✿ღ◈◈，在 Move 中✿ღ◈◈，整数运算的安全性旨在防止溢出和下溢✿ღ◈◈，因为溢出和下溢可能导致意外行为或漏洞✿ღ◈◈。具体来说✿ღ◈◈：如果加法和乘法的计算结果对于整数类型来说过大✿ღ◈◈，则会导致程序中止✿ღ◈◈。如果除数为零✿ღ◈◈，则除法中止✿ღ◈◈。

　　而左移（）的独特之处在于✿ღ◈◈，发生溢出时不会中止✿ღ◈◈。这意味着✿ღ◈◈，即使移位的位数超出了整数类型的存储容量✿ღ◈◈，程序也不会终止✿ღ◈◈，从而可能导致错误值或不可预测的行为✿ღ◈◈。

　　1.攻击者首先通过批量互换功能发起攻击交易✿ღ◈◈，其使用 BPT 大量换出池子的流动性代币✿ღ◈◈，使得池子的流动性代币储备变得很低✿ღ◈◈。

　　ComposableStablePools 使用 Curve 的 StableSwap 不变式公式来维持相似资产之间的价格稳定性✿ღ◈◈。然而✿ღ◈◈，进行不变式计算的缩放操作时会引入误差✿ღ◈◈。

　　mulDown 函数执行向下取整的整数除法✿ღ◈◈，这种精度误差会传递到不变式的计算中✿ღ◈◈，导致计算值异常降低✿ღ◈◈，从而为攻击者创造获利机会✿ღ◈◈。

　　据美国财政部披露的资料显示✿ღ◈◈，Ryan JamesWedding 及其团队经由哥伦比亚和墨西哥走私了数吨可卡因并销往美国和加拿大✿ღ◈◈。其犯罪组织利用加密货币洗钱✿ღ◈◈，以清洗巨额的非法财富✿ღ◈◈。

　　通过 Beosin 旗下的链上追踪与调查工具 Beosin Trace✿ღ◈◈，对与 Wedding 的贩毒集团关联的加密货币地址进行分析✿ღ◈◈，分析结果如下所示✿ღ◈◈：

　　随后 GMX 被盗资产中价值约 3200 万的 ETH 分别存放在以下 4 个以太坊网络地址✿ღ◈◈：

　　本次事件的资金清洗路径非常典型✿ღ◈◈，黑客通过 DeFi 协议✿ღ◈◈、跨链桥等方式对资金的路径进行混淆和隐藏✿ღ◈◈，以躲避来自监管机构✿ღ◈◈、执法部门的追踪和冻结✿ღ◈◈。

　　2025年✿ღ◈◈，钓鱼诈骗✿ღ◈◈、项目方 Rug Pull所造成的金额损失较 2024年均有明显下降✿ღ◈◈，然而黑客攻击频发✿ღ◈◈，损失金额超过了 31 亿美元✿ღ◈◈，其中损失最高的项目类型依然为交易所✿ღ◈◈。而私钥泄露相关的安全事件有所减少✿ღ◈◈，造成这一转变的主要原因包括✿ღ◈◈：

　　在去年猖獗的黑客活动之后BEAT365✿ღ◈◈，今年整个 Web3 生态更加注重安全性猫咪vip破解版1.1.2✿ღ◈◈，从项目方到安全公司都在各个方面做出了努力✿ღ◈◈，如内部安全运营✿ღ◈◈、实时链上监控✿ღ◈◈、更加注重安全审计✿ღ◈◈、从过往合约漏洞利用事件中积极汲取经验✿ღ◈◈，在私钥保管与项目运营安全方面不断加强了安全意识✿ღ◈◈。由于合约漏洞和盗取私钥的难度越来越高✿ღ◈◈，黑客开始通过其它手段✿ღ◈◈，如供应链攻击✿ღ◈◈、前端漏洞等方式欺骗用户将资产转移至黑客控制的地址BEAT365✿ღ◈◈。

　　此外✿ღ◈◈，随着加密市场与传统市场的融合✿ღ◈◈，攻击目标不再局限于攻击 DeFi✿ღ◈◈、跨链桥✿ღ◈◈、交易所等类型✿ღ◈◈，而是转向攻击支付平台✿ღ◈◈、博彩平台✿ღ◈◈、加密服务提供商✿ღ◈◈、基础设施✿ღ◈◈、开发工具✿ღ◈◈、MEV 机器人等多种目标✿ღ◈◈，攻击的焦点也转向更为复杂的协议逻辑缺陷✿ღ◈◈。

　　对个人用户而言BEAT365✿ღ◈◈，社会工程 / 钓鱼攻击以及可能存在的暴力胁迫成为个人资产安全的重大威胁✿ღ◈◈。目前✿ღ◈◈，许多钓鱼攻击因涉及金额较小✿ღ◈◈，受害者为个人用户而未被公开报道或者记录✿ღ◈◈，其损失数据往往被低估✿ღ◈◈，但用户应提高防范此类攻击的意识✿ღ◈◈。而针对加密用户的绑架等具有暴力胁迫的物理方式在今年屡次出现✿ღ◈◈，用户需保护好个人身份信息✿ღ◈◈，并尽可能减少加密资产的公开暴露✿ღ◈◈。

　　总体而言✿ღ◈◈，2025 年的 Web3 安全依然面临着严峻挑战✿ღ◈◈，项目方与个人用户不可掉以轻心✿ღ◈◈。在未来✿ღ◈◈，供应链安全可能成为 Web3 安全的重中之重✿ღ◈◈。如何持续保护行业的各类基础设施服务提供商以及监控✿ღ◈◈、告警供应链中存在的威胁✿ღ◈◈，是行业各方需要共同解决的一大挑战✿ღ◈◈。而 AI 驱动的社会工程 / 钓鱼攻击可能会继续增加✿ღ◈◈，这需要构建一个从个人意识到技术屏障猫咪vip破解版1.1.2✿ღ◈◈、再到社区协作的多层次✿ღ◈◈、实时✿ღ◈◈、动态的防御体系以进行应对✿ღ◈◈。bet亚洲365欢迎投注✿ღ◈◈，bet356亚洲版体育beat365正版网站唯一官网app✿ღ◈◈！体育365beat365·(中国)官方网站✿ღ◈◈！bet356亚洲版体育官网✿ღ◈◈，