Skynet Hack3D 报告凸显2025年Web3安全态势

TheNewsCrypto发布于2025-12-24更新于2025-12-24

文章摘要

2025年Web3生态在宏观经济改善、投资信心增强及美国政策支持背景下加速发展,但安全威胁同步升级。全年损失达33.5亿美元(同比增37%),但若排除Bybit单起14.5亿美元供应链攻击,实际损失呈下降趋势。攻击趋势呈现集中化、高破坏性特征,钓鱼攻击成为主要威胁(7.229亿美元/248起),代码漏洞攻击次之(5.546亿美元/240起)。 人工智能成双刃剑:防御方用AI提升审计效率,攻击方则利用AI制作高仿真钓鱼界面、多语言诈骗活动及深度伪造身份。监管框架逐步完善(如美国GENIUS法案、欧盟MiCA),推动安全成为市场准入前提。 Bybit事件揭示供应链攻击风险, Lazarus集团通过入侵第三方钱包服务商实施史上最大加密窃案。CertiK年内推出多项安全报告、集成实时风险分析工具,并获以太坊基金会资助强化zkEVM验证研究。未来Web3安全需将防护深度融入开发全链路。

Web3生态系统在2025年以 renewed momentum 进入,受到宏观经济条件改善、投资者信心增强以及美国政治气候明显更支持的影响。美国新政府迅速采取行动,将数字资产定位为战略性创新领域而非监管异常,早期发出信号表明区块链技术将受到鼓励而非限制。这一转变恢复了建设者、机构和风险投资的信心,帮助去中心化应用更深入地扩展到支付、游戏、资产代币化、身份解决方案和现实世界金融用例中。

然而,随着生态系统活动的加速,威胁形势也在加剧。网络对手与行业同步发展,改进了技术漏洞利用和社会工程技术。尽管创新激增,2025年成为一个 stark reminder,表明增长和风险在Web3中继续并行发展。

根据行业数据,2025年的总损失达到33.5亿美元,较2024年的24.5亿美元增长了37%。乍一看,这些数字表明安全状况 dramatic deterioration。然而,仔细观察 reveals a more nuanced picture。单一事件,Bybit漏洞利用,约占当年损失的14.5亿美元。当这一异常值被排除时,总体被盗资金将 year over year 下降,突显了攻击者行为的关键转变。

威胁行为者不再依赖大量中型漏洞利用,而是 increasingly concentrated resources into fewer but far more devastating operations。Bybit事件 demonstrated the growing presence of well-funded, highly coordinated adversaries capable of executing complex, long-horizon attacks。这一趋势表明,尽管许多协议的基线安全卫生正在改善,但系统性风险仍然存在,特别是在基础设施和供应链层面。

在对攻击向量进行分类时,网络钓鱼 emerged as the most prevalent threat in 2025。排除Bybit供应链漏洞,网络钓鱼在248起事件中造成了7.229亿美元的损失,在频率上超过了代码漏洞和基础设施攻击。代码相关的漏洞利用紧随其后,在240起事件中造成了5.546亿美元的损失,尽管近一半的资金最终被冻结或归还,突显了 improved response coordination and on-chain intervention capabilities。

人工智能在塑造这一 evolving threat environment 中 played a defining role。在防御方面,开发者 increasingly relied on AI-powered tools to generate test cases, identify inefficiencies, enhance formal verification, and streamline audit workflows。相反,攻击者大规模采用了相同的技术。AI生成的网络钓鱼界面变得 nearly indistinguishable from legitimate dApps and wallet prompts,而 automated multilingual campaigns expanded reach into previously insulated communities。

威胁行为者还 leveraged AI for reconnaissance, scraping on-chain data and private chat channels to identify high-value targets。冒充攻击 grew more convincing, with fake founder accounts, synthetic voices, and deepfake videos eroding traditional trust signals。或许最令人担忧的是漏洞利用复制的速度,因为AI工具 enabled attackers to copy and deploy successful attack patterns within days or even hours。

2025年全年,监管 clarity improved significantly,帮助稳定了更广泛的生态系统。在美国,GENIUS法案建立了稳定币监管和数字资产透明度的早期框架,同时 signaling a more cooperative stance toward innovation。全球范围内,欧盟 advanced toward full MiCA implementation,提高了披露和消费者保护的标准。与此同时,新加坡和香港等司法管辖区 expanded digital asset sandboxes,巴西和哥伦比亚等国家 progressed toward regulated commodity tokenization frameworks。

这些 developments contributed to more structured governance and influenced how projects approached compliance, architecture, and operational security。随着 regulations matured,安全 increasingly became a prerequisite for market access rather than an optional feature。

今年最重大的事件之一发生在二月,当时Bybit suffered the largest crypto theft in history。这次攻击 attributed to the Lazarus Group,并未直接利用Bybit的内部系统。相反,攻击者 compromised a developer machine at Safe{Wallet}, a third-party multi-signature wallet provider。注入钱包界面的恶意代码 invisibly altered transaction details,导致授权签署人 unknowingly approve fraudulent transfers。该事件 exposed the growing risks associated with trusted tooling and supply-chain dependencies。

除了大规模漏洞, individual users faced mounting risks。AI驱动的网络钓鱼、深度伪造冒充和 targeted social engineering attacks surged throughout the year。许多损失未报告,特别是那些与 off-chain scams such as pig-butchering schemes and investment fraud 相关的损失,表明 actual user losses are likely far higher than recorded figures。

随着2026年的临近,Web3安全的轨迹 becoming clearer。预计攻击者将进一步 refine AI-powered impersonation and phishing campaigns,而供应链攻击 may grow more sophisticated。与此同时, stronger regulation, real-time monitoring, and AI-assisted defenses offer a path toward reducing preventable losses。

2025年的CertiK

2025年是CertiK的 milestone year,以 expanded research, deeper ecosystem integrations, and continued leadership in Web3 security 为标志。以下是塑造这一年的 key achievements:

  • 将Token Scan与ChainGPT和Binance Wallet集成,将实时代币风险分析直接扩展到广泛使用的Web3工具中。
  • 发布了Skynet稳定币聚焦报告:2025年上半年,对稳定币 landscape, key vulnerabilities, and how the Skynet Security Score can be used to assess stablecoin risk 进行了深入审查。
  • 发布了2025年Skynet RWA安全报告,为现实世界资产(RWA)协议提供了 structured due-diligence criteria and a comprehensive risk review framework。
  • 推出了2025年Skynet韩国Web3安全与生态系统报告,提供了对韩国Web3市场动态的 insights and profiling leading platforms in the region。
  • 发布了2025年Skynet数字资产国库(DAT)报告,引入了Skynet DAT安全与合规框架,以评估 operational integrity beyond surface-level metrics。
  • 发布了Skynet美国数字资产政策报告,总结了美国GENIUS法案和CLARITY法案的 legal foundations, market-structure implications, and operational requirements。
  • 对Canton Network上的USDCx铸币和销毁过程进行了 full-scale security assessment,包括 on-chain Daml智能合约的审计和 off-chain infrastructure 的渗透测试。
  • 推出了CertiK SkyNode,一个 validator node service designed to improve network security, reliability, and performance across multiple public blockchain ecosystems。
  • 与蚂蚁集团的AntChain(蚂蚁密集计算)共同发表了研究, focused on the formal verification of core components within the Asterinas operating system。
  • 引入了LiDO框架,由CertiK联合创始人邵中教授提出, addressing critical security challenges in Byzantine Fault Tolerant (BFT) consensus mechanisms。
  • 获得了以太坊基金会的两项资助, reinforcing CertiK’s leadership position in zkEVM formal verification research。
  • 推出了Skynet排行榜,一个 security-focused ranking platform designed to evaluate and compare crypto and Web3 project security。
  • 发布了生态系统特定的展示排行榜以支持战略Layer 1增长,包括 dedicated leaderboards for BNB Chain and SUI。

在这个 rapidly evolving environment 中,长期成功将 depend on integrating security into every layer of Web3 development。作为最大的Web3安全服务提供商,CertiK continues to play a central role in safeguarding the ecosystem, supporting thousands of projects, and strengthening trust as blockchain technology moves closer to mainstream adoption。

TagsBlockchainexchange

相关问答

Q根据报告,2025年Web3生态系统的总损失金额是多少?与2024年相比有何变化?

A2025年Web3生态系统的总损失金额为33.5亿美元,与2024年的24.5亿美元相比,增加了37%。

Q2025年最主要的攻击类型是什么?它造成了多少损失?

A2025年最主要的攻击类型是网络钓鱼(Phishing),它造成了7.229亿美元的损失,涉及248起事件。

QBybit事件是如何发生的?它属于哪种类型的攻击?

ABybit事件是由Lazarus Group发起的供应链攻击。攻击者并未直接攻击Bybit的内部系统,而是通过入侵第三方多签钱包提供商Safe{Wallet}的开发人员机器,在钱包界面中注入代码,悄无声息地篡改交易细节,导致授权签署人 unknowingly 批准了欺诈性转账。

Q人工智能(AI)在2025年的Web3安全威胁中扮演了怎样的双重角色?

A人工智能在2025年的Web3安全威胁中扮演了双重角色。一方面,防御者利用AI工具生成测试用例、识别低效环节、增强形式化验证并简化审计工作流。另一方面,攻击者大规模采用AI技术,制造出几乎无法与合法dApp和钱包提示区分的网络钓鱼界面,开展自动化多语言活动,并利用AI进行侦察、实施更逼真的冒充攻击以及快速复制成功的攻击模式。

Q2025年监管环境有哪些积极的发展?这些发展对Web3安全产生了什么影响?

A2025年监管环境取得了显著进展。美国通过了《GENIUS法案》,为稳定币监管和数字资产透明度建立了早期框架。欧盟全面实施了MiCA(加密资产市场)法规,提高了披露和消费者保护标准。新加坡、香港扩大了数字资产沙盒,巴西、哥伦比亚等国也在推进受监管的商品代币化框架。这些发展为项目提供了更结构化的治理,并促使安全成为市场准入的先决条件,而不再是一个可选功能。

你可能也喜欢

被卡住的Polymarket:走过流量红利的真正大考来了

Polymarket作为预测市场龙头近期面临交易体验明显下降的问题,包括价格延迟、订单无法提交和交易确认缓慢等。其DeFi工程副总裁Josh Stevens承认,增长已超出基础设施承载能力,并宣布将进行“链迁移”(chain migration),同时重建核心订单簿系统(CLOB)、降低数据延迟、修复交易问题、提升网站性能,并计划推出永续合约(Perps)。 Polymarket早期选择Polygon链是因成本低且轻量,但随着用户交易行为变得高频,Polygon逐渐成为增长瓶颈。此次换链不仅是底层公链的变更,更是整套交易系统的升级,旨在适应更接近交易所的运营需求。 多个公链(如Solana、Sui等)已向Polymarket抛出橄榄枝,强调其高性能和低费用优势。而Polygon作为当前主要链,面临重要生态应用流失的风险,正积极合作解决痛点。 Polymarket的真正考验在于:从验证需求阶段转向规模运营后,必须证明其系统能稳定承接高频交易,确保用户留存和持续交易信心。

Odaily星球日报3小时前

被卡住的Polymarket:走过流量红利的真正大考来了

Odaily星球日报3小时前

关键议员「松口」,沃什5月15日接任美联储主席「最大障碍」已清

阻碍凯文·沃什出任美联储主席的关键政治障碍已消除,北卡罗来纳州共和党参议员蒂利斯宣布撤回对沃什提名的阻挠立场,为4月29日的委员会提名投票扫清道路。此前司法部撤销对现任主席鲍威尔的刑事调查,蒂利斯对美联储独立性受威胁的顾虑得以缓解。沃什若获确认,预计于5月15日鲍威尔任期届满时接任,并可能推动废除“点阵图”等前瞻指引机制,重构全球资产定价逻辑。尽管沃什提名进程加速,鲍威尔去留仍存变数,特朗普未对其全面放行。沃什的政策立场可能移除市场利率预期工具,引发股债汇市场系统性重估。

marsbit4小时前

关键议员「松口」,沃什5月15日接任美联储主席「最大障碍」已清

marsbit4小时前

调低 BTC 下一轮牛市的预期

作者Alex Xu分享了他对比特币下一轮牛市预期的调整,并解释了减仓BTC的原因。他曾在7万美元时卸掉杠杆,在10-12万美元时将仓位从满仓降至三成,近期又在78000-79000美元进一步减仓。主要原因包括: 1. 驱动BTC大涨的潜在能量减弱,如难以进入主权国家央行储备; 2. 个人机会成本上升,发现更具吸引力的投资标的; 3. 加密行业整体萎缩,影响BTC需求和共识; 4. 最大买家MicroStrategy融资成本持续攀升,可能抑制买入能力; 5. 代币化黄金等竞品在功能性上拉近与BTC的差距; 6. 比特币减半后安全预算问题日益严峻。 尽管减仓,他仍持有部分BTC并希望其上涨,但会根据环境变化调整策略。本文仅为个人观点,供参考。

marsbit4小时前

调低 BTC 下一轮牛市的预期

marsbit4小时前

预测市场离不开内幕交易,但内幕交易正在杀死它

预测市场面临根本矛盾:依赖内幕交易产生准确价格,却因内幕交易吓退散户。最新案例显示,美军特种兵利用机密信息在Polymarket获利40万美元,引发法律和道德争议。类似内幕交易丑闻频发,暴露市场核心问题——信息效率与公平感知难以兼得。若内幕交易过松,散户感觉被操纵而离场;若限制过严,市场失去关键信息源,沦为情绪聚合器。平台需在监管与流动性间寻找平衡,但监管趋严或迫使平台放弃匿名交易,加强监控。最终,预测市场的存续取决于能否协调这一矛盾。

marsbit4小时前

预测市场离不开内幕交易,但内幕交易正在杀死它

marsbit4小时前

霍尔木兹海峡,伊朗能“管住”吗?

伊朗迈赫尔通讯社报道,伊朗已就管理霍尔木兹海峡形成综合方案,内容包括:海峡主权归伊朗所有;过航船只须获许可并缴纳费用,优先以里亚尔支付;禁止以色列船只及被认定为敌对国家船只通行;索赔未解决国家船只不予放行。分析认为,伊朗意在加强对美以施压、获取稳定收入并为美伊谈判留余地。然而,该方案面临国际法争议及多国反对,美国已采取封锁反制。实际操作难度大,且可能引发外交压力,方案能否实施仍存不确定性。

marsbit5小时前

霍尔木兹海峡,伊朗能“管住”吗?

marsbit5小时前

交易

现货
合约
活动图片

热门分类right-arrow

热门标签right-arrow