CertiK《Hack3d:2025年第一季安全報告》現已發布,本次報告深入分析了2025年1至3月Web3.0領域的安全狀況。 2025年第一季共發生197起安全事件,總損失約16.7億美元,較上季激增303.4%。其中Bybit事件導致約14.5億美元的損失,引發對中心化交易所安全性的廣泛討論。
關鍵數據
- 季度數據:2025年第一季度,Web3.0產業共發生197起鏈上安全事件,總損失約16.7億美元。與上季相比總損失增加了約303.4%,安全事件數量增加了6起。
- 攻擊方式:錢包被竊造成了2025年第一季最嚴重的資金損失,光是3起事件就導致約14.5億美元被竊。其次是私鑰外洩(作為錢包漏洞的一個子類別),15起事件共造成約1.4億美元的損失。網路釣魚攻擊的單次損失金額較低,但發生頻率最高,本季81起網路釣魚攻擊共造成近1,600萬美元的損失。
- 鏈上分佈:以太坊是遭受安全事件最多的區塊鏈,共發生98起攻擊、詐欺和漏洞事件,總計損失約15.4億美元。
- 追回損失:本季成功追回被竊資金639萬美元,調整後的實際損失總額約16.6億美元。本季追回的被竊資金僅佔0.4%,遠低於上季的42.1%,使得實際淨損失更為慘重。事實上,2025年2月無一筆被竊資金成功追回。
- 每起事件的平均損失約為955萬美元,損失中位數約為6.6萬美元。
安全趨勢
儘管本季因網路釣魚造成的總損失金額遠低於私鑰洩漏和錢包被盜,但網路釣魚的事件數量仍然高於其他攻擊手段。高頻低損的釣魚攻擊所帶來的分散性風險已不容忽視。
網路釣魚的增加可能與日益複雜的社會工程策略有關,例如偽造的去中心化應用程式(dApp)、惡意瀏覽器擴充功能以及基於深度偽造的身份冒充等手法,使用戶更容易在不知情的情況下洩露敏感資訊。
創新與攻擊之間的競賽正在加速,安全防禦的發展難以跟上日益複雜的攻擊手段。駭客正利用社會工程、AI、合約操縱等手段突破安全防線。隨著數位資產採用率提升和資產估值走高,CertiK預測,數位資產被盜金額仍可能持續攀升。
然而,區塊鏈技術的進步或許能夠在未來改變這個局面。例如零知識證明(ZKP)、鏈上取證工具和多方運算(MPC)錢包等安全創新,可望提升整體防護能力,並降低現有攻擊方式的威脅。未來幾季,將成為Web3.0產業抗風險能力的關鍵考驗期。
產業趨勢
儘管遭遇重大安全事件,2025年第一季仍出現了一些重要的監管與策略進展。號
例如,美國政府宣布成立戰略數位貨幣儲備(Strategic Cryptocurrency Reserve) ,旨在確保美國在數位資產生態系統中的金融利益。此外,美國證券交易委員會(SEC)成立了數位貨幣特別工作組(Crypto Task Force) ,轉向提供更明確的監管指導,而非先前阻礙創新的「執法優先」策略。歐盟則透過《數位資產市場法案》(MiCA) 敲定技術標準,進一步推動其在Web3.0合規領域的監管落實。
季度回顧
本季初,CertiK共同創辦人顧榮輝教授赴韓國進行策略合作交流, 與釜山數位資產交易所(Bdan)正式簽署策略合作諒解備忘錄(MOU) 。期間,顧教授也先後會晤Wemix、Kaia、United Games及GBBC等重要韓國合作夥伴,進一步拓展合作領域。同時,顧教授受邀接受韓國知名媒體etoday及TokenPost的專訪,就韓國市場、全球監管新趨勢及CertiK的策略佈局發表見解。
2月香港Consensus期間, CertiK攜手OceanBase與OKLink共同主辦了「CertiK Space」活動。活動期間, 顧榮輝教授接受專訪,系統闡釋技術、商業與監管協同進化的趨勢; CertiK的首席技術官Li Kang教授則就黑客組織攻擊手段不斷演進帶來的威脅進行了剖析。
本季度, CertiK也與螞蟻密算聯合發布的最新研究工作——針對星綻(Asterinas)操作系統核心組件的形式化驗證,引發鳳凰網、網易新聞、新浪財經等多家知名媒體的關注和報道。
本季度,CertiK也發布了多篇技術分析、科普文章:
同時, CertiK商務長做客Cointelegraph播客,就Bybit事件深入探討Web3.0安全。
結語
CertiK的季度報告也深入分析了遭受攻擊最多的區塊鏈、季度三大安全事件、Web3.0的發展趨勢,並為用戶及專案方提供了提升安全性的建議。
歡迎大家點擊此處閱讀完整的《Hack3d:2024年度安全報告》,以獲得更全面的分析、洞察和建議。
