2025年Web3安全报告：供应链与钓鱼攻击致损33.5亿美元，AI放大威胁

全球头部Web3安全机构CertiK近期发布的《2025年度Web3安全态势报告》揭示，尽管行业在监管明晰化进程中加速发展，但安全威胁的复杂性与破坏性正同步攀升，构成了严峻的系统性挑战。

数据显示，2025年Web3领域累计记录安全事件630起，造成经济损失约33.5亿美元，较上一年度增长37%。一个值得警惕的趋势是：虽然事件总数减少了137起，但单次攻击的平均损失额飙升至532万美元，同比激增66.6%，表明攻击者正日益聚焦于高价值目标。

供应链攻击：少数事件，巨额损失

在各类攻击手段中，供应链攻击对年度总损失的“贡献”最为突出。全年仅有两起公开记录，却导致了高达14.5亿美元的损失，几乎占据全年总损失的一半。这凸显出攻击策略的转变：攻击者不再仅仅瞄准单一应用协议，而是将资源集中于攻破那些为多个项目提供关键服务的底层基础设施或工具提供商。

报告重点分析了2025年2月发生的Bybit事件。该事件造成约14亿美元损失，被认为是加密史上最大规模的盗窃案之一。攻击者并未直接攻击交易所核心系统，而是通过入侵第三方多签钱包服务商的开发环境，在签名流程中植入恶意代码，从而巧妙地绕过了多重安全审批机制。这一案例为整个行业敲响了警钟：供应链上的任何薄弱环节都可能成为全局性灾难的导火索。

钓鱼攻击：最高发的威胁，AI成“催化剂”

若以发生频率衡量，网络钓鱼无疑是2025年最常见的攻击形式。报告统计了248起钓鱼攻击事件，导致损失约7.23亿美元，其发生次数略高于代码漏洞攻击（240起）。

CertiK特别指出，实际发生的钓鱼事件数量可能远高于统计数字。大量针对个人用户、损失金额较小或发生在链下的社会工程学诈骗并未被公开披露。更令人担忧的是，人工智能技术的普及正在革命性地降低钓鱼攻击的实施门槛。攻击者利用AI生成足以以假乱真的钓鱼网站、钱包授权弹窗以及多语言诈骗内容，并能结合链上数据与社交媒体信息进行精准化投放。这使得传统依赖识别拼写错误或固定模板的防御方式逐渐失效。

监管演进与安全范式转变

面对风险升级，全球监管框架也在同步演进。美国在稳定币与数字资产透明度方面的立法动向、欧盟的MiCA框架、以及新加坡与中国香港的监管沙盒实践，都在推动Web3向更规范的方向发展。

报告强调，随着传统金融机构与合规资本加速入场，安全的重要性已发生根本性变化。它正从一个“事后补救”的成本项，转变为项目设计与运营中不可或缺的“基础设施”。无论对项目方还是用户而言，强大的安全能力已不再是可选项，而是决定其能否长期生存与发展的核心竞争要素。

展望未来，报告预测由AI驱动的仿冒攻击、日益复杂的供应链渗透以及针对个人的定制化社会工程学攻击将持续演进。在此背景下，只有那些将安全思维深度嵌入架构设计、开发流程与用户体验每一个环节的项目，才能在下一阶段的Web3竞争中建立稳固的护城河。

报告全文：https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a