Security

ZK 2023年ZK赛道扩展至多场景，分化出zkEVM、zkVM、ZK Mining等子赛道。zkEVM在Type0、1、2类型上各有进展；zkVM以zkWASM为主，应用高性能DEX；ZK Mining中GPU、FPGA效率相当，ASIC或有新需求；ZK middleware涵盖zkBridge、zkML等场景。 MEV MEV领域关注交易供应链早期意图阶段，私人拍卖/交易池改善供应链，FHE、MPC和ZKPs技术发展。OFA兴起，高价值交易流向OFA，用户获得价值回馈。Builder和Relay市场集中，未来或向无许可发展。 AA 账户抽象赛道分智能合约钱包和模块化服务，Bundler和Paymaster成标配。L2的AA发展优于L1，用户钱包数快速增长，但DApp支持不足和跨链问题待解。 Intents Intents发展迅速，需解决solver作恶和订单流信任问题。与MEV、AA架构结合，Builder和Searcher适合匹配角色。Telegram Bot或向Intent演化，议价权显著。 DA DA赛道头部效应明显，Celestia、Eigenlayer和Avail为主。以太坊最安全但昂贵，protodanksharding后费用降，大Rollup仍选以太坊。EigenDA定位特殊，吸引中间地带客户。 Rollup Frameworks & RaaS Rollup市场饱和，30多个RaaS项目竞争。OP Stacks获大量采用，DePIN等应用或通过定制执行环境使用以太坊Rollup。新技术如Risc0 Zeth、FHE Rollup提供新可能。 Cosmos Cosmos Hub加强生态地位，推部分验证人安全、多跳IBC等功能。应用链开发受L2影响，但高度可定制化底层框架弹性强，随主流叙事演进。 Security 安全赛道工具多样，链上检测、审计、模糊测试等各有所长。工具组合难取代完整审核，考察维护速度、漏洞库、合作方需求等维度。 AI Crypto与AI结合方向包括算力基础设施、数据训练、聊天工具等。算力网络早期，数据标签平台需高价值订单。关注ZKML、垂直数据优势项目。 DeFi 2023年需求转向实际收益率产品，LSDfi和RWA受关注。DEX机会大，L2高性能应用潜力。流动性质押持续增长，Lido占32%市场份额。 Gaming & Entertainment 游戏质量提升，关注UGC和web3结合。游戏UA项目以用户画像为核心，获客与运营并重。Fan engagement项目依赖IP合作，社区基础平台更易成功。 Institutional Service 机构服务赛道稳定增长，合规重要。职责划分明确，PB服务类公司份额或提升。欧洲为热点，新兴市场有潜力。 Bitcoin 比特币基础设施需不同思路建设，关注Taproot Assets、Rollup、闪电网络等。侧链技术主流，Layer2项目技术栈差异大。客户端验证、闪电网络、BRC20类资产等值得关注。 DePIN DePIN易牛市起量，机制与时机关键。ToC高频硬件或革命性变革，改善类硬件需技术突破。特有矿机方向用户黏性待观察。

2025年上半年加密货币损失超31亿美元，已超过2024年全年总额。访问控制漏洞占比59%，智能合约漏洞占8%。DeFi领域损失显著，Cetus攻击15分钟内损失2.23亿美元。AI相关攻击激增1025%，34%的Web3项目部署的AI Agent成为攻击目标。行业需升级安全标准应对新型威胁。

关键要点 加密货币继承计划至关重要，私钥丢失将导致比特币、以太坊等资产永久无法恢复。 有效计划需包含资产清单、安全访问说明和可信执行人，确保继承人合法获取数字资产。 通过加密文件或去中心化工具保护隐私，避免在公开遗嘱中暴露敏感信息。 平衡托管与非托管方案，避免资产全存交易所或不当共享密钥等常见错误。

印度加密货币交易所CoinDXC遭遇4400万美元攻击，损失来自公司自有储备，用户资金未受影响。CEO Sumit Gupta宣布提供高达25%的奖励，鼓励白帽黑客协助追回被盗资金。此次事件是中心化交易所面临的新一波攻击之一，2024年第二季度Web3领域65%的损失与CEX相关。专家呼吁交易所加强安全措施，采用实时钱包监控等预防性解决方案。

网络安全专家David Carvalho警告，量子计算与AI结合将对加密货币构成生存威胁。他指出比特币和以太坊等区块链的密码学基础已过时，而”现在收集，未来解密”的攻击模式正在形成。尽管量子技术尚未能破解SHA-256算法，但各国政府和企业已在准备后量子密码学迁移。Carvalho强调真正的危险在于量子计算与AI融合导致的”无声崩溃”——系统信任被无形侵蚀。目前约25%的比特币存储在易受量子攻击的老旧地址中，而中心化基础设施更放大风险。虽然BIP-360等防御方案正在开发，但行业整体仍未给予足够重视。

英国区块链分析公司Elliptic报告显示，2025年通过跨链交换流动的非法或高风险加密货币飙升至218亿美元（2023年为70亿美元），其中12%与朝鲜相关。跨链洗钱手段包括结构化链跳（分割资金跨链转移）和多跳链跳（反复跨链转移），技术门槛降低使小额犯罪者也频繁使用。DEX、代币交换服务及区块链桥成为主要渠道，25%非法流动涉及无证在线赌博。尽管追踪工具（如Elliptic Investigator）已实现自动化跨链分析，但犯罪手法持续升级，形成猫鼠游戏态势。

黑客入侵GMX v1盗取4000万美元后，通过链上消息承诺归还资金并已开始行动，目前已返还约2000万美元。GMX团队向黑客提供500万美元白帽赏金作为交换，并威胁若不归还将采取法律行动。攻击者利用GLP代币设计缺陷实施攻击，GMX承诺若归还90%资金，黑客可保留10%作为奖励。

加密安全研究人员发现并成功阻止了针对数千份未初始化ERC-1967代理合约的重大漏洞攻击，避免了超1000万美元资产损失。攻击者通过抢先部署恶意合约植入后门，可随时接管漏洞合约。Venn Network联合多团队展开36小时紧急救援，转移风险资金。Berachain等协议已暂停受影响合约，研究人员怀疑朝鲜Lazarus组织可能参与此次全EVM链复杂攻击，但尚无确凿证据。用户资金未受实际损失。

区块链安全公司SlowMist曝光一个伪装成Solana交易机器人的恶意GitHub存储库(solana-pumpfun-bot)，该仓库通过伪造高星标和分叉数量诱骗用户，内含恶意NPM包crypto-layout-utils窃取钱包凭证。调查发现攻击者控制多个GitHub账户批量分发恶意软件变种，其中bs58-encrypt-utils-1.0.3包自6月12日起活跃。这是近期针对加密用户的软件供应链攻击新案例。

关键要点 地址投毒攻击通过伪造相似地址诱骗用户转账，已造成超8300万美元损失。 主要手法包括网络钓鱼、假二维码、Sybil攻击、智能合约操控等7种类型。 典型案例包括260万USDT骗局和6800万WBTC被盗事件。 防御措施：使用硬件/多签钱包、地址轮换、白名单机制及区块链分析工具。 攻击不仅造成资金损失，更破坏区块链网络信任度和正常运行。