区块链安全审计机构Hacken最新报告显示,2025年上半年加密货币领域因智能合约漏洞、访问控制缺陷以及Rug Pull等安全问题造成的损失已突破31亿美元大关。
这一惊人数字不仅远超2024年全年28.5亿美元的总损失,更揭示了加密行业持续面临的安全危机。虽然2月份Bybit平台遭遇的15亿美元攻击事件可能属于极端案例,但整个行业的安全形势依然不容乐观。
从损失类型来看,2025年上半年的分布格局与2024年基本保持一致。其中访问控制漏洞以59%的占比成为最大威胁源,而智能合约漏洞造成的损失也达到2.63亿美元,占总损失的8%。
2025年上半年加密攻击类型和总损失。来源:Hacken 2025年上半年Web3安全报告
Hacken取证与事件响应负责人Yehor Rudytsia向Cointelegraph透露,自2025年第三季度起,过时的GMX v1代码库已成为黑客的主要攻击目标。
“项目方必须高度重视那些未被完全停用的旧代码库带来的安全隐患,”Rudytsia特别强调。
随着加密行业的不断发展,攻击者的策略也在升级——从早期的密码学漏洞利用转向更复杂的人为和流程层面的攻击。当前最值得警惕的攻击手段包括盲签名攻击、私钥泄露以及精心设计的钓鱼攻击等。
这一趋势暴露出行业发展的关键痛点:即便技术防护措施不断强化,访问控制仍然是加密生态中最脆弱、风险最高的环节之一。
DeFi与智能合约安全挑战加剧
运营安全漏洞已成为资金损失的主要原因,DeFi与CeFi平台合计损失高达18.3亿美元。2025年第二季度最引人注目的安全事件当属Cetus黑客攻击,攻击者在短短15分钟内就窃取了2.23亿美元,这不仅创下2023年初以来DeFi领域单季度最大损失记录,更终结了此前连续五个季度的损失下降趋势。
季度DeFi损失 来源:Hacken 2025年上半年Web3安全报告
值得注意的是,虽然2024年第四季度至2025年第一季度期间,访问控制失效一直是主要威胁,但本季度DeFi领域的访问控制漏洞损失已降至1400万美元,创下2024年第二季度以来的新低。与此同时,智能合约漏洞造成的损失却出现显著上升。
Cetus攻击事件中,黑客巧妙地利用了流动性计算中的溢出检查漏洞。通过闪电贷建立小额仓位后,攻击者迅速横扫了264个资金池。Hacken分析指出,如果实施有效的实时总锁仓额(TVL)监控与自动暂停机制,最多可挽回90%的被盗资金。
人工智能威胁升级:Web3安全新挑战
人工智能和大型语言模型(LLM)的快速普及正在重塑Web2和Web3生态系统。虽然这些技术推动了创新,但也带来了前所未有的安全挑战。
数据显示,与2023年相比,涉及人工智能的攻击事件暴增1025%,其中98.9%与不安全的API有关。更令人担忧的是,目前已有五项主要的AI相关CVE(常见漏洞与暴露)被列入高危名单。值得注意的是,34%的Web3项目在生产环境中部署了AI Agent(人工智能代理),这使得它们成为黑客的重点攻击目标。
面对这一新形势,传统的网络安全框架如ISO/IEC 27001和NIST网络安全框架已显不足,难以应对AI特有的安全风险,包括模型幻觉、提示注入和对抗性数据投毒等新型威胁。Hacken强调,这些安全标准亟需升级,以应对Web3时代特有的AI安全挑战。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/26638.html
