零時聚焦|| 2025 年上半年web3 鏈上安全態勢分析報告

前言

在數位經濟浪潮中，Web3 區塊鏈技術以其去中心化、透明化等特性，建構起全新的信任與價值流轉體系。然而，隨著Web3 生態蓬勃發展，安全威脅如影隨形，時時刻刻衝擊著這片新興領域。今天，就讓我們一同深入剖析2025 年上半年Web3 區塊鏈的安全態勢，洞察潛在風險，探索應對之策。

一、2025年上半年Web3 安全綜述

2025 年上半年，Web3 區塊鏈領域發生重大安全事件87 起，因駭客攻擊、釣魚詐騙和專案方Rug Pull 造成的經濟損失達22.9 億美元，超過2024 年全年總和。其中， Rug Pull總損失金額約320萬美元；釣魚詐騙總損失金額約4,138 萬美元。從上半年來看，2月和5月為損失高峰：2月因Bybit 交易所被竊事件單月損失超14.5 億美元，5月Cetus Protocol 攻擊事件造成2.23 億美元損失。若剔除這兩起極端事件，其餘攻擊事件的平均損失約350 萬美元/起，顯示產業基礎安全風險仍在高點運作。

二、2025年上半年安全事件回顧

2025 年上半年Web3 安全事件呈現攻擊手法專業化、損失規模集中化的特色。 Bybit 和Cetus Protocol 兩起事件佔總損失的72%，凸顯中心化交易所和DeFi 協定的脆弱性。值得注意的是，智能合約漏洞（如權限控制、數學函數缺陷）仍是主要攻擊入口，而跨鏈操作和預言機機製成為新型風險點。

安全事件回顧

1. Bybit 冷錢包攻擊事件

•損失金額：14.5 億美元（約10.2 萬枚ETH）

•攻擊方式：釣魚攻擊+ 智慧合約權限控制漏洞

•事件詳情：2月21日，Bybit 冷錢包在執行常規資金劃轉時，被篡改的前端代碼將價值14.5 億美元的ETH 轉移至黑客控制的地址。攻擊暴露了中心化交易所依賴第三方錢包工具的信任風險，以及靜態資源託管的安全隱患。事件發生後，Bybit 暫停所有鏈上操作，啟動資產凍結程序，並聯合執法機構追蹤資金流向。這起事件不僅重創用戶信任，也引發市場對多簽機制安全性的廣泛質疑。

2. Cetus Protocol 智能合約攻擊事件

•損失金額：2.23 億美元（含1.62 億美元凍結資產）

•攻擊方式：數學函數溢出漏洞+ 閃電貸操縱

•事件詳情：5月22日，Sui 鏈上最大DEX Cetus Protocol 遭攻擊，駭客在數小時內抽乾核心流動性池。攻擊導致SUI 價格暴跌7%，相關MEME 代幣（如Bulla）市值蒸發超90%。 Cetus 緊急凍結1.62 億美元資產，並懸賞600 萬美元贖回部分被盜資金，但仍有6,000 萬美元資金透過跨鏈橋洗白。這次攻擊揭示了新興公鏈DeFi 專案在複雜金融模型設計上的經驗不足。

3. Nobitex 交易所攻擊事件

•損失金額：約9,000 萬美元

•攻擊方式：網路間諜+ 私鑰竊取

•事件詳情：6月18日，以色列關聯組織針對伊朗最大加密貨幣交易所Nobitex 發動攻擊，透過竊取私鑰轉移用戶資產。攻擊可能涉及情報獲取，以色列隨後逮捕了三名涉嫌為伊朗從事間諜活動的人員，其中兩人曾收取加密貨幣作為報酬。 Chainalysis 指出，Nobitex 是伊朗受制裁加密生態的重要樞紐，這起事件凸顯了地緣政治對Web3 安全的影響。

4. UPCX 智能合約攻擊事件

•損失金額：約7,000 萬美元

•攻擊方式：未授權合約升級

•事件詳情：4月1日，DeFi 協定UPCX 因ProxyAdmin 合約被未授權升級，攻擊者呼叫withdrawByAdmin 函數從三個管理帳戶轉移1840 萬枚UPC（價值7000 萬美元）。資金轉移至0xFf7 開頭地址後未進一步操作，UPCX 團隊確認事件並聯合安全機構調查，但截至6 月仍未追回資金。

5. Infini 權限漏洞事件

•損失金額：約4,950萬美元

•攻擊方式：權限管理漏洞

•事件詳情：2月24日，前團隊成員透過保留的管理權限直接修改合約參數，分兩筆盜取資金池全部USDC（1145萬+3806萬），兌換為17,696 ETH後經混幣器轉移。 Infini團隊48小時內承諾全額賠償用戶，並升級多簽冷錢包系統，資金至今仍未追回。

6. Cork Protocol 合約漏洞事件

•損失金額：約1,200萬美元（3,762枚wstETH）

•攻擊方式：合約邏輯漏洞（假市場操縱）

•事件詳情：5月28日，攻擊者利用Cork Protocol的Depeg Swap機制漏洞，創建虛假市場並操控流動性，盜取3762枚wstETH（價值1200萬美元），隨後兌換為4530枚ETH。團隊緊急暫停所有合約並展開調查，資金仍未追回。

7. zkLend 智能合約攻擊事件

•損失金額：約850 萬美元

•攻擊方式：整數溢位漏洞

•事件詳情：2月，Starknet 鏈上DeFi 協定zkLend 因safeMath 庫除法計算時的四捨五入漏洞，被攻擊者重複提取流動性池資金，共盜走3300 枚ETH（約850 萬美元）。專案方曾提出「保留10% 資金作為白帽賞金」的和解方案，但駭客未回應。最後zkLend 向執法機構報案，並監控資金流向，但追回可能性較低。

三、2025上半年被攻擊項目類型

2025 年上半年，Web3 領域的安全事件呈現出專案類型集中化、損失規模兩極化的特徵。從攻擊目標來看，加密貨幣交易所以絕對優勢成為損失最高的領域，其次是DeFi 協議。

1. 中心化交易所（CEX）

•損失金額：共6次攻擊，總損失15.91億美元，佔全部攻擊損失的74.4%

•最大事件：Bybit 被竊14.4億美元（Safe錢包前端被竄改）

•其他案例：Nobitex（9,000萬美元）、Phemex（7,000萬美元）

2. DeFi協議

•損失金額：約3.24億美元（佔15.1%）

•最大事件：Cetus Protocol（Sui生態DEX）損失2.24億美元

•其他案例：Abracadabra Finance（1,300萬美元）、Cork Protocol（1,200萬美元）

3. 加密支付平台

•損失金額：約1.2億美元（2件事件）

4. 其他類型（跨鏈橋、瀏覽器、Memecoin等）

•單次損失較低，但攻擊次數較多

四、2025上半年被攻擊項目類型

智能合約漏洞

2025 年上半年，智慧合約漏洞成為Web3 安全性最大威脅，佔全部攻擊事件的60%（12起），造成17.8億美元損失（佔80%） 。權限缺陷、數學溢位等程式碼問題頻傳，攻擊者常透過釣魚網站和簽名誘騙等手段繞過風控。在最嚴重的Bybit事件中，駭客利用釣魚攻擊結合合約權限漏洞，盜取40.1 萬枚ETH（價值14.6億美元），創下Web3 史上單次攻擊最高損失紀錄，凸顯了智能合約權限管理和多簽機制的重大安全隱患。

釣魚攻擊

釣魚攻擊佔2025 年安全事件的25%（超200起），造成4 億美元損失（16%） 。攻擊者透過虛假空投、高仿平台等社會工程手段竊取資產，單筆損失通常在100-100 萬美元。典型案例包括某DeFi 計畫Discord 群組釣魚事件，導致230 萬美元被盜，凸顯用戶防範意識仍需加強。

其他攻擊手法

其他攻擊手法（30起事件，佔15%）造成3.2 億美元損失，主要包括：

• 預言機操縱（如KiloEx 損失740 萬美元）

• 跨鏈橋漏洞

• 社會工程攻擊

典型案例為伊朗Nobitex 交易所遭襲（ 8,200萬美元），駭客竊取私鑰後銷毀資產，凸顯國家層級安全威脅與跨鏈協議風險疊加。

五、2025 年上半年Web3 區塊鏈安全態勢總結

2025 年上半年，Web3 區塊鏈安全態勢呈現出攻擊事件頻傳、專案類型受影響廣泛、攻擊手法複雜多變的特性。加密貨幣交易所、DeFi 專案以及新興Web3 應用平台成為重災區，智慧合約漏洞利用和釣魚攻擊成為主要攻擊手段，為產業帶來了巨大的經濟損失和信任衝擊。

展望未來，Web3 區塊鏈產業需要多方協同努力，共同應對安全挑戰。專案方應加強智能合約的安全審計與測試，提升代碼質量，完善安全防護體系；投資者需增強風險意識，謹慎對待各類投資項目，提高識別釣魚等詐騙手段的能力；監管機構應進一步完善相關法規政策，規範行業發展，加大對違法犯罪行為的打擊力度；同時，安全技術企業也應持續優化，研發更先進的網路安全性新計畫。唯有如此，Web3 區塊鏈技術才能在安全的軌道上持續創新與發展，釋放出更大的價值潛力。