Skynet Hack3D 报告凸显2025年Web3安全态势

TheNewsCrypto發佈於 2025-12-24更新於 2025-12-24

文章摘要

2025年Web3生态在宏观经济改善、投资信心增强及美国政策支持背景下加速发展,但安全威胁同步升级。全年损失达33.5亿美元(同比增37%),但若排除Bybit单起14.5亿美元供应链攻击,实际损失呈下降趋势。攻击趋势呈现集中化、高破坏性特征,钓鱼攻击成为主要威胁(7.229亿美元/248起),代码漏洞攻击次之(5.546亿美元/240起)。 人工智能成双刃剑:防御方用AI提升审计效率,攻击方则利用AI制作高仿真钓鱼界面、多语言诈骗活动及深度伪造身份。监管框架逐步完善(如美国GENIUS法案、欧盟MiCA),推动安全成为市场准入前提。 Bybit事件揭示供应链攻击风险, Lazarus集团通过入侵第三方钱包服务商实施史上最大加密窃案。CertiK年内推出多项安全报告、集成实时风险分析工具,并获以太坊基金会资助强化zkEVM验证研究。未来Web3安全需将防护深度融入开发全链路。

Web3生态系统在2025年以 renewed momentum 进入,受到宏观经济条件改善、投资者信心增强以及美国政治气候明显更支持的影响。美国新政府迅速采取行动,将数字资产定位为战略性创新领域而非监管异常,早期发出信号表明区块链技术将受到鼓励而非限制。这一转变恢复了建设者、机构和风险投资的信心,帮助去中心化应用更深入地扩展到支付、游戏、资产代币化、身份解决方案和现实世界金融用例中。

然而,随着生态系统活动的加速,威胁形势也在加剧。网络对手与行业同步发展,改进了技术漏洞利用和社会工程技术。尽管创新激增,2025年成为一个 stark reminder,表明增长和风险在Web3中继续并行发展。

根据行业数据,2025年的总损失达到33.5亿美元,较2024年的24.5亿美元增长了37%。乍一看,这些数字表明安全状况 dramatic deterioration。然而,仔细观察 reveals a more nuanced picture。单一事件,Bybit漏洞利用,约占当年损失的14.5亿美元。当这一异常值被排除时,总体被盗资金将 year over year 下降,突显了攻击者行为的关键转变。

威胁行为者不再依赖大量中型漏洞利用,而是 increasingly concentrated resources into fewer but far more devastating operations。Bybit事件 demonstrated the growing presence of well-funded, highly coordinated adversaries capable of executing complex, long-horizon attacks。这一趋势表明,尽管许多协议的基线安全卫生正在改善,但系统性风险仍然存在,特别是在基础设施和供应链层面。

在对攻击向量进行分类时,网络钓鱼 emerged as the most prevalent threat in 2025。排除Bybit供应链漏洞,网络钓鱼在248起事件中造成了7.229亿美元的损失,在频率上超过了代码漏洞和基础设施攻击。代码相关的漏洞利用紧随其后,在240起事件中造成了5.546亿美元的损失,尽管近一半的资金最终被冻结或归还,突显了 improved response coordination and on-chain intervention capabilities。

人工智能在塑造这一 evolving threat environment 中 played a defining role。在防御方面,开发者 increasingly relied on AI-powered tools to generate test cases, identify inefficiencies, enhance formal verification, and streamline audit workflows。相反,攻击者大规模采用了相同的技术。AI生成的网络钓鱼界面变得 nearly indistinguishable from legitimate dApps and wallet prompts,而 automated multilingual campaigns expanded reach into previously insulated communities。

威胁行为者还 leveraged AI for reconnaissance, scraping on-chain data and private chat channels to identify high-value targets。冒充攻击 grew more convincing, with fake founder accounts, synthetic voices, and deepfake videos eroding traditional trust signals。或许最令人担忧的是漏洞利用复制的速度,因为AI工具 enabled attackers to copy and deploy successful attack patterns within days or even hours。

2025年全年,监管 clarity improved significantly,帮助稳定了更广泛的生态系统。在美国,GENIUS法案建立了稳定币监管和数字资产透明度的早期框架,同时 signaling a more cooperative stance toward innovation。全球范围内,欧盟 advanced toward full MiCA implementation,提高了披露和消费者保护的标准。与此同时,新加坡和香港等司法管辖区 expanded digital asset sandboxes,巴西和哥伦比亚等国家 progressed toward regulated commodity tokenization frameworks。

这些 developments contributed to more structured governance and influenced how projects approached compliance, architecture, and operational security。随着 regulations matured,安全 increasingly became a prerequisite for market access rather than an optional feature。

今年最重大的事件之一发生在二月,当时Bybit suffered the largest crypto theft in history。这次攻击 attributed to the Lazarus Group,并未直接利用Bybit的内部系统。相反,攻击者 compromised a developer machine at Safe{Wallet}, a third-party multi-signature wallet provider。注入钱包界面的恶意代码 invisibly altered transaction details,导致授权签署人 unknowingly approve fraudulent transfers。该事件 exposed the growing risks associated with trusted tooling and supply-chain dependencies。

除了大规模漏洞, individual users faced mounting risks。AI驱动的网络钓鱼、深度伪造冒充和 targeted social engineering attacks surged throughout the year。许多损失未报告,特别是那些与 off-chain scams such as pig-butchering schemes and investment fraud 相关的损失,表明 actual user losses are likely far higher than recorded figures。

随着2026年的临近,Web3安全的轨迹 becoming clearer。预计攻击者将进一步 refine AI-powered impersonation and phishing campaigns,而供应链攻击 may grow more sophisticated。与此同时, stronger regulation, real-time monitoring, and AI-assisted defenses offer a path toward reducing preventable losses。

2025年的CertiK

2025年是CertiK的 milestone year,以 expanded research, deeper ecosystem integrations, and continued leadership in Web3 security 为标志。以下是塑造这一年的 key achievements:

  • 将Token Scan与ChainGPT和Binance Wallet集成,将实时代币风险分析直接扩展到广泛使用的Web3工具中。
  • 发布了Skynet稳定币聚焦报告:2025年上半年,对稳定币 landscape, key vulnerabilities, and how the Skynet Security Score can be used to assess stablecoin risk 进行了深入审查。
  • 发布了2025年Skynet RWA安全报告,为现实世界资产(RWA)协议提供了 structured due-diligence criteria and a comprehensive risk review framework。
  • 推出了2025年Skynet韩国Web3安全与生态系统报告,提供了对韩国Web3市场动态的 insights and profiling leading platforms in the region。
  • 发布了2025年Skynet数字资产国库(DAT)报告,引入了Skynet DAT安全与合规框架,以评估 operational integrity beyond surface-level metrics。
  • 发布了Skynet美国数字资产政策报告,总结了美国GENIUS法案和CLARITY法案的 legal foundations, market-structure implications, and operational requirements。
  • 对Canton Network上的USDCx铸币和销毁过程进行了 full-scale security assessment,包括 on-chain Daml智能合约的审计和 off-chain infrastructure 的渗透测试。
  • 推出了CertiK SkyNode,一个 validator node service designed to improve network security, reliability, and performance across multiple public blockchain ecosystems。
  • 与蚂蚁集团的AntChain(蚂蚁密集计算)共同发表了研究, focused on the formal verification of core components within the Asterinas operating system。
  • 引入了LiDO框架,由CertiK联合创始人邵中教授提出, addressing critical security challenges in Byzantine Fault Tolerant (BFT) consensus mechanisms。
  • 获得了以太坊基金会的两项资助, reinforcing CertiK’s leadership position in zkEVM formal verification research。
  • 推出了Skynet排行榜,一个 security-focused ranking platform designed to evaluate and compare crypto and Web3 project security。
  • 发布了生态系统特定的展示排行榜以支持战略Layer 1增长,包括 dedicated leaderboards for BNB Chain and SUI。

在这个 rapidly evolving environment 中,长期成功将 depend on integrating security into every layer of Web3 development。作为最大的Web3安全服务提供商,CertiK continues to play a central role in safeguarding the ecosystem, supporting thousands of projects, and strengthening trust as blockchain technology moves closer to mainstream adoption。

TagsBlockchainexchange

相關問答

Q根据报告,2025年Web3生态系统的总损失金额是多少?与2024年相比有何变化?

A2025年Web3生态系统的总损失金额为33.5亿美元,与2024年的24.5亿美元相比,增加了37%。

Q2025年最主要的攻击类型是什么?它造成了多少损失?

A2025年最主要的攻击类型是网络钓鱼(Phishing),它造成了7.229亿美元的损失,涉及248起事件。

QBybit事件是如何发生的?它属于哪种类型的攻击?

ABybit事件是由Lazarus Group发起的供应链攻击。攻击者并未直接攻击Bybit的内部系统,而是通过入侵第三方多签钱包提供商Safe{Wallet}的开发人员机器,在钱包界面中注入代码,悄无声息地篡改交易细节,导致授权签署人 unknowingly 批准了欺诈性转账。

Q人工智能(AI)在2025年的Web3安全威胁中扮演了怎样的双重角色?

A人工智能在2025年的Web3安全威胁中扮演了双重角色。一方面,防御者利用AI工具生成测试用例、识别低效环节、增强形式化验证并简化审计工作流。另一方面,攻击者大规模采用AI技术,制造出几乎无法与合法dApp和钱包提示区分的网络钓鱼界面,开展自动化多语言活动,并利用AI进行侦察、实施更逼真的冒充攻击以及快速复制成功的攻击模式。

Q2025年监管环境有哪些积极的发展?这些发展对Web3安全产生了什么影响?

A2025年监管环境取得了显著进展。美国通过了《GENIUS法案》,为稳定币监管和数字资产透明度建立了早期框架。欧盟全面实施了MiCA(加密资产市场)法规,提高了披露和消费者保护标准。新加坡、香港扩大了数字资产沙盒,巴西、哥伦比亚等国也在推进受监管的商品代币化框架。这些发展为项目提供了更结构化的治理,并促使安全成为市场准入的先决条件,而不再是一个可选功能。

你可能也喜歡

美 SEC 想拆掉一条 2005 年旧规,代币化股票看到了什么

美国证券交易委员会(SEC)近日提出一项拟议规则,计划撤销《国家市场体系条例》(Regulation NMS)中的第611条规则和第610(e)条规则。第611条规则(即“穿价成交规则”)旨在防止交易绕过市场上最优的报价成交;第610(e)条规则则限制“锁定报价”(买价等于另一场所卖价)和“交叉报价”(买价高于卖价)。 SEC认为,这些制定于2005年的规则已不适应如今高度自动化、互联且快速的市场环境。它们增加了市场参与者的合规成本和系统复杂性,并可能加剧交易碎片化。撤销这些规则可为交易场所、经纪商和另类交易系统(ATS)在订单路由、报价展示和交易机制上提供更大的灵活性与创新空间。 这项改革提案引起了Web3领域的关注,因为SEC在背景说明中特别提到了分布式账本技术、证券代币化以及智能合约和自动做市商(AMM)带来的新型交易方式。市场分析人士指出,此举可能为“代币化股票”的发展扫除部分结构性障碍。传统美股市场基于中心化协调和报价保护体系,而链上交易则倾向于全天候运行、智能合约撮合和跨场所流动性。现有规则可能限制了新型交易机制的设计空间。 SEC估计,撤销这两条规则后,市场参与者每年可节省约5420万至7700万美元的成本。提案目前处于公众意见征求阶段,最终能否实施尚不确定。即便规则撤销,代币化证券仍面临发行注册、托管、清算、股东权利等多重监管挑战。然而,这标志着SEC开始审视传统市场规则是否契合当前技术条件,为金融创新提供了可能的试验窗口。

Foresight News27 分鐘前

美 SEC 想拆掉一条 2005 年旧规,代币化股票看到了什么

Foresight News27 分鐘前

Ethena 的转型与华尔街的焦虑

2026年6月9日,稳定币协议Ethena宣布与全球资管巨头Janus Henderson达成深度战略合作,标志着其从DeFi原生协议正式迈入传统金融核心。Ethena将使用Janus Henderson的AAA级CLO基金作为其稳定币USDe的储备资产,而Janus Henderson则通过旗下平台收购ENA代币、将USDe纳入自身财库管理,并计划开发相关的交易所交易产品(ETP)向机构客户分销。 Ethena最初以Delta中性策略稳定币USDe闻名,其收益率高度依赖衍生品市场资金费率,在牛市中迅速扩张,但在市场转熊时暴露出脆弱性。经历2025年危机后,Ethena积极转型,大幅降低衍生品头寸占比,将储备资产扩展至包括国债、企业信贷和CLO在内的多种传统资产,使USDe转变为一种混合RWA抵押的稳定币。 此次合作展现了传统金融机构的深层焦虑。随着美国《GENIUS法案》等监管框架的明确,稳定币竞争转向合规与分发网络建设。传统资管机构面临“代币化或被代币化”的战略压力、收益率压力以及对未来资金入口控制权的担忧。Janus Henderson通过合作嵌入稳定币生态,旨在确保其在下一代金融基础设施中的地位。 这一案例揭示了传统金融与去中心化金融边界正在消融的趋势,稳定币成为双方融合的核心战场。双方通过资产互通、战略投资、财库管理和产品分销的四重合作,共同探索新的金融范式。

Foresight News59 分鐘前

Ethena 的转型与华尔街的焦虑

Foresight News59 分鐘前

热门交互合集 | Interstate上线积分活动;Flip早期候补名单申请(6月12日)

热门交互合集:Interstate上线积分活动;Flip开放早期候补名单申请(6月12日) **Interstate:链上交易基础设施** Interstate是一个整合Meme币、预测市场、xStocks等高波动资产交易的平台,已完成150万美元种子轮融资。平台已上线积分活动,用户通过官网进行交易即可获得积分奖励。 **Flip:AI理财助手** Flip是一款AI理财助手,可通过聊天方式帮助用户管理消费、账单、投资组合等。项目近期完成140万美元Pre-Seed轮融资。用户现可访问官网申请加入早期候补名单。 **ArcNova:AI原生影视基础设施** ArcNova专注于AI短剧,致力于构建AI影视基础设施,已获1500万美元融资。用户可访问官网任务中心,通过每日签到、完成社交及App任务获取积分,邀请好友还可获得额外奖励。

Odaily星球日报1 小時前

热门交互合集 | Interstate上线积分活动;Flip早期候补名单申请(6月12日)

Odaily星球日报1 小時前

不是所有链都能接住机构,Canton 为什么可以

不是所有链都能承接机构的核心金融业务。Canton 网络的目标是成为机构金融工作流的底层协调层,让金融机构在保留各自系统和权限的同时,能在同一个网络中安全、同步地进行交易、抵押和结算。 其成功的关键在于深谙机构需求。Canton 采用分段架构和选择性披露机制,确保交易数据仅在授权范围内可见。其 Daml 智能合约将复杂的业务规则和权限控制内置于逻辑中。更重要的是,它提供了资产锁定、原子化结算和全局同步器等功能,有效解决了机构间交易中的信用风险、交收不同步等核心痛点,还原了金融业务的运行逻辑。 这一务实定位获得了罕见的多方认可。其开发主体 Digital Asset 近期完成了由众多传统金融巨头和加密资本共同参与的融资,累计融资额约 8.05 亿美元。这反映出金融核心玩家们对 Canton 作为未来金融协作底层的战略共识。 网络生态已初具规模,连接了近 300 家合作伙伴,包括顶尖银行、市场基础设施和资管公司,并已处理了数万亿美元的代币化资产和巨额回购交易。其原生代币 CC 是支撑网络同步与结算服务可持续运行的经济机制。 总体而言,Canton 并非直接与开放公链竞争流量,而是致力于为最严肃的机构金融活动构建一个安全、有序且可互操作的协调底座。这为机构资产大规模上链、进而间接影响更广阔的链上金融市场,奠定了关键的基础设施条件。

Foresight News1 小時前

不是所有链都能接住机构,Canton 为什么可以

Foresight News1 小時前

速汇金:我们为何推出自有稳定币?

全球跨境汇款巨头速汇金推出自有稳定币MGUSD,旨在服务其庞大的现有用户网络,解决无银行账户或银行服务不足人群的真实痛点。MGUSD并非意在争夺主流稳定币的市场份额,而是作为速汇金战略升级的一部分,为用户提供一个稳定持有美元余额的渠道,并与其全球汇款、现金支取、消费支付等成熟服务网络无缝对接。 文章指出,速汇金拥有超过八十年的历史和海量跨境汇款用户,无需从零教育市场。MGUSD基于Stellar区块链和自托管钱包架构,让用户能自主掌控资产,进行安全的价值储存和便捷流转,同时享受速汇金线上线下结合的网络优势,实现数字余额与现金、本地货币的灵活转换。该产品在设计之初即深度融合了KYC、反洗钱等全球合规要求。 此外,MGUSD的推出也推动了速汇金内部基础设施的现代化与运营模式革新。公司通过组织架构扁平化、组建跨职能团队,以初创企业的速度在约一年内完成了产品落地。稳定币技术已整合进公司财资管理体系,用于提升全球资金结算与流动性管理效率,年化外汇交易规模已达20亿美元。 速汇金强调,其商业模式坚持开放合作,在优化直接用户体验的同时,致力于成为合作伙伴更优质的结算与服务通道。MGUSD的核心目标是通过可信赖的成熟网络,为用户提供更完善、可控的金融资产存储与使用方案。

Foresight News1 小時前

速汇金:我们为何推出自有稳定币?

Foresight News1 小時前

交易

現貨
合約
活动图片

熱門分類right-arrow

熱門標籤right-arrow