CertiK发布2025年度Web3安全报告:全年损失33.5亿美元,攻击向高价值目标集中
12月23日,全球最大的Web3安全公司CertiK发布《2025 Skynet Hack3D Web3安全报告》。报告指出,在市场情绪回暖、监管预期逐步清晰的背景下,Web3生态持续扩张,但整体安全风险并未随之下降,反而呈现向高价值目标集中的结构性特征。
报告数据显示,2025年全年共发生630起Web3安全事件,累计造成约33.5亿美元损失,较2024年同比增长37%。值得注意的是,安全事件总数量较上一年减少137起,但单起事件的平均损失金额却大幅上升至532万美元,同比增幅超过66%。这一变化表明,攻击者正逐渐将资源集中于数量更少但影响更大的高价值攻击行动。
从时间分布来看,2025年第一季度成为全年损失最为集中的阶段。其中,2月单月损失超过15亿美元,占全年总损失的近一半。报告指出,这一异常峰值主要源于年初发生的Bybit事件。该事件被认为是迄今为止规模最大的加密资产盗窃事件之一。攻击者并未直接突破交易所系统,而是通过入侵第三方多签钱包服务商的开发者环境,在签名流程中植入恶意代码,从而绕过多重审批机制。
在攻击类型方面,供应链攻击成为2025年造成损失规模最大的风险源。尽管全年仅发生两起相关事件,但累计损失高达14.5亿美元。报告分析认为,攻击者正将重点从单一协议本身,转向关键服务提供方和底层工具,一旦成功入侵,影响范围将被成倍放大。
与此同时,钓鱼攻击和代码漏洞依然构成重要威胁。全年共记录248起钓鱼攻击事件,造成约7.23亿美元的损失,发生次数略高于代码漏洞攻击(240起)。不过,报告也指出,随着链上监测与协同响应能力提升,代码漏洞部分事件中已有相当比例的资金被及时冻结或追回,显示出防御能力正在逐步进化。
CertiK在报告中指出,随着机构资金持续进入Web3领域,安全已不再只是技术问题,而是直接影响项目长期生存能力和行业信任基础的核心变量。未来,能否在架构设计、权限管理与风险隔离层面提前应对“高价值攻击”,将成为Web3项目分化的重要分水岭。
报告同时对全球监管环境、行业未来趋势及用户风险防范等内容进行了分析,旨在为Web3项目、机构参与者及个人用户提供更具前瞻性的安全参考,推动安全能力从“事后补救”转变为项目设计和运营中的基础设施要素。
拆稿2
CertiK 2025年Web3安全报告:AI放大钓鱼威胁,监管环境趋向清晰
随着Web3生态逐步回暖并迈向更广泛的应用场景,安全威胁的形态也在同步演进。CertiK在最新发布的《2025 Skynet Hack3D Web3安全报告》中指出,2025年Web3安全风险呈现出明显的结构性变化,其中,人工智能正在成为社会工程与网络钓鱼攻击的重要“放大器”。
报告显示,网络钓鱼是2025年发生频次最高的攻击方式。全年共记录248起钓鱼攻击事件,造成约7.23亿美元损失。CertiK指出,这一数据仍偏保守,因为大量针对个人用户的钓鱼与诈骗行为并未被正式披露,尤其是损失金额较小、完全发生在链下的社会工程学攻击。
与以往相比,2025年的钓鱼攻击在欺骗性与规模化程度上均出现显著变化。报告指出,攻击者开始广泛利用AI生成与真实产品界面高度相似的钓鱼网站和钱包弹窗,并通过自动化工具发起多语言钓鱼攻击。同时,攻击者借助AI对链上活动数据及社群沟通内容进行信息收集,以识别潜在的高价值目标。这类高度仿真的钓鱼与仿冒行为,通过还原真实使用场景,持续降低用户对风险的警惕程度。
在攻击手段升级的同时,AI也正在被引入防御体系之中。CertiK在报告中指出,开发者与安全团队已开始借助AI辅助生成测试用例、发现潜在问题并优化安全审计流程。比如CertiK已利用AI技术进行已知漏洞模式扫描、代码逻辑分析与报告生成,构建出以“人机协同”为核心的智能审计体系,提升专家审计效率。这一变化也意味着,AI正在同时被应用于攻防两端,Web3安全环境的复杂度进一步提升。
与此同时,全球数字资产监管环境在2025年迎来积极变化。报告指出,美国围绕稳定币透明度与数字资产合规的立法进展,为行业提供了更明确的政策预期;欧盟MiCA框架、新加坡及中国香港的监管沙盒机制,也正在推动Web3走向更加结构化、可预期的发展阶段。这一趋势正促使项目方与机构参与者,将安全能力前移至架构设计与日常运营层面。
从整体数据来看,报告显示,2025年全年共发生630起Web3安全事件,累计造成约33.5亿美元损失,较2024年同比增长37%。尽管安全事件总数量较上一年减少137起,但单起事件的平均损失金额却上升至532万美元,同比增幅超过66%,反映出攻击正逐步向影响范围更大、破坏性更强的事件集中。
CertiK认为,未来一年,AI驱动的仿冒攻击、规模化钓鱼以及针对个人用户的社会工程行为仍将持续演进。在监管日趋清晰、机构持续入场的背景下,将安全能力嵌入架构设计、开发流程与用户体验之中的项目,才有可能在新一轮Web3竞争中建立长期可信度。
编辑:竹夏墨
