Beosin-Blockbuster | Analyse der Web3-Blockchain-Sicherheitslandschaft in der ersten Hälfte des Jahres 2025
*Dieser Bericht wurde gemeinsam von Beosin und Footprint Analytics erstellt
1. Überblick über die Sicherheitslandschaft der Web3-Blockchain in der ersten Hälfte des Jahres 2025
Laut Beosin Alert wird sich der Gesamtschaden, der durch Hacking, Phishing-Betrug und Rug Pull im Web3-Bereich in der ersten Hälfte des Jahres 2025 verursacht wird, auf etwa 2,138 Milliarden US-Dollar belaufen. Darunter gab es 90 große Angriffe mit einem Gesamtschaden von etwa 2,093 Milliarden US-Dollar; Die Gesamtverluste von Rug Pull beliefen sich auf etwa 3,2 Millionen US-Dollar; Der Gesamtverlust der Phishing-Betrügereien betrug etwa 41,38 Millionen US-Dollar.
Aus der Perspektive der angegriffenen Projekttypen sind Börsen zu der Art von Projekten mit den höchsten Verlusten geworden. Die sechs Angriffe auf die Börsenplattform verursachten einen Gesamtschaden von mehr als 1,591 Milliarden US-Dollar, was 74,4 % aller Angriffsschäden entspricht.
In Bezug auf die Höhe der Verluste jeder Chain ist Ethereum immer noch die Kette mit dem höchsten Verlustbetrag und den meisten Angriffsereignissen. Die 81 Angriffe auf Ethereum verursachten einen Schaden von 1,739 Milliarden US-Dollar oder 81,3 % der Gesamtverluste. Sui verlor durch den Vorfall mit dem Cetus-Protokoll etwa 224 Millionen US-Dollar und belegte damit den zweiten Platz.
Was die Angriffsmethoden betrifft, so gab es in der ersten Jahreshälfte mit insgesamt 63 Angriffen die häufigsten Angriffe, die Kontraktschwachstellen ausnutzten, was zu einem Schaden von 408 Millionen US-Dollar führte. Bybit war die Art von Angriff mit dem höchsten Prozentsatz an Verlusten aufgrund von 1,44 Milliarden US-Dollar, die aufgrund eines Fehlers in der Infrastruktur der Wallet gestohlen wurden, was 67,4 % der gesamten Angriffsverluste ausmachte.
In Bezug auf die Geldflüsse wurde in der ersten Jahreshälfte nur ein kleiner Teil (etwa 238 Millionen US-Dollar) der gestohlenen Gelder eingefroren oder wiederhergestellt, und etwa 71,2 % der gestohlenen Gelder zirkulieren immer noch in On-Chain-Wallets und sind nicht in Börsen oder Mixer geflossen.
2. Überblick über die Angriffe in der ersten Hälfte des Jahres 2025
Die 90 großen Angriffe führten zu einem Gesamtschaden von 2,093 Milliarden US-Dollar
In der ersten Hälfte des Jahres 2025 entdeckte Beosin Alert insgesamt 90 große Angriffe im Web3-Bereich mit einem Gesamtschaden von 2,093 Milliarden US-Dollar. Darunter gab es 2 Sicherheitsvorfälle mit Verlusten von mehr als 100 Millionen US-Dollar, 7 Vorfälle mit Verlusten im Bereich von 10 bis 100 Millionen US-Dollar und 18 Vorfälle mit Verlusten im Bereich von 1 bis 10 Millionen US-Dollar.
Angriffe mit Verlusten von mehr als 10 Millionen US-Dollar (in alphabetischer Reihenfolge):
● Bybit - 1,44 Milliarden US-Dollar
Angriffsmethode: Das Frontend der sicheren Wallet ist mit der Chain-Plattform manipuliert: Ethereum
Am 21. Februar wurde die Kryptowährungsbörse Bybit angegriffen und etwa 1,44 Milliarden US-Dollar an Geldern aus ihrer sicheren Multisig-Wallet gestohlen. Durch das Hacken in die Server von Safe platzierten die Hacker bösartigen Code, der normale Transaktionsanfragen ersetzte und den Unterzeichner dazu veranlasste, die manipulierte Transaktion ohne sein Wissen zu signieren.
● Cetus-Protokoll - 224 Millionen US-Dollar
Angriffsmethode: Kontraktschwachstelle Kettenplattform: Sui
Am 22. Mai wurde das DEX-Cetus-Protokoll im Sui-Ökosystem angegriffen, und seine Schwachstelle entstand aus einem Implementierungsfehler der Shift-Left-Operation im Open-Source-Bibliothekscode. In der Folge wurden in Zusammenarbeit mit der Sui-Stiftung und anderen ökologischen Projekten 162 Millionen US-Dollar an gestohlenen Geldern auf Sui erfolgreich eingefroren.
● Nobitex - 90 Millionen US-Dollar
Angriffsmethode: noch nicht klar Kettenplattform: Multi-Chain
Am 18. Juni gab Nobitex, Irans größte Krypto-Börse, bekannt, dass sie gehackt wurde und mehr als 90 Millionen US-Dollar verloren hat, darunter eine Vielzahl von Kryptowährungen wie BTC, ETH, Doge, XRP, SOL, TRX und TON. Eine pro-israelische Gruppe namens "Gonjeshke Darande" hat die Verantwortung für den Angriff übernommen und ihn als Schlag gegen die iranische Krypto-Infrastruktur bezeichnet.
● Phemex - 70 Millionen US-Dollar
Angriffsmethode: Leck bei privaten Schlüsseln Kettenplattform: Multi-Chain
Am 23. Januar wurden Krypto-Assets im Wert von etwa 70 Millionen US-Dollar aus der Phemex Hot Wallet gestohlen, einer in Singapur ansässigen Kryptowährungsbörse, an der mehrere Krypto-Assets wie ETH, SOL, BTC, BNB, USDT und mehr beteiligt sind.
● UPCX - 70 Millionen US-Dollar
Angriffsmethode: Schwachstelle in der Zugangskontrolle Kettenplattform: Ethereum
Am 1. April verlor UPCX Token im Wert von etwa 70 Millionen US-Dollar aufgrund von unbefugtem Zugriff. Die Hacker aktualisierten den ProxyAdmin-Vertrag von UPCX und führten anschließend eine Funktion aus, die es Administratoren ermöglichte, Gelder abzuheben, was dazu führte, dass Gelder von drei verschiedenen Verwaltungskonten überwiesen wurden.
● Infini - 49,5 Millionen US-Dollar
Angriffsmethode: Schwachstelle im Berechtigungsmanagement Chain-Plattform: Ethereum
Am 24. Februar wurden 49,5 Millionen US-Dollar von Infini gestohlen, nachdem ein interner Entwickler Gelder gestohlen hatte, indem er den Vertrag aktualisierte, indem er das Team dazu brachte, heimlich die Privilegien des Vertragsmanagements zu behalten.
● Abracadabra Finance - 13 Millionen US-Dollar
Angriffsmethode: Vertragsschwachstelle Chain-Plattform: Ethereum
Am 25. März verlor Abracadabra Finance, ein dezentrales Kreditprotokoll, etwa 13 Millionen US-Dollar, indem es aufgrund einer Vertragslücke etwa 6.262 ETH stahl.
● Cork Protocol - 12 Millionen US-Dollar
Angriffsmethode: Vertragsschwachstelle Chain-Plattform: Ethereum
Am 28. Mai wurde das Cork Protocol, ein Anker-Asset-Protokoll auf der Ether-Chain, angegriffen, und der Angreifer erzielte einen Gewinn von 12 Millionen US-Dollar durch eine logische Schwachstelle im Vertrag des Projekts (Schlüsselparameter wurden nicht überprüft).
● BitoPro - 11,5 Millionen US-Dollar
Angriffsmethode: Leck bei privaten Schlüsseln Kettenplattform: Multi-Chain
Am 2. Juni gab die Kryptobörse BitoPro eine Ankündigung heraus, in der sie den Angriff bestätigte und sagte, dass ihre Hot Wallet während des jüngsten Upgrades des Wallet-Systems und des Krypto-Asset-Transfers von Hackern angegriffen wurde und der abnormale Abfluss von Geldern aus mehreren On-Chain-Hot-Wallets etwa 11,5 Millionen US-Dollar betrug.
3. Die Art des Projekts, das angegriffen werden soll
CEX ist die Art von Projekt mit dem höchsten Verlust
Die Art von Projekt mit den höchsten Verlusten in der ersten Jahreshälfte waren zentralisierte Börsen, mit sechs Angriffen auf zentralisierte Börsen, die insgesamt mehr als 1,591 Milliarden US-Dollar an Verlusten verursachten, von denen Bybit mit einem Verlust von etwa 1,44 Milliarden US-Dollar den größten Verlust verursachte. Der Rest der größeren Verluste waren Nobitex (etwa 90 Millionen US-Dollar an Verlusten), Phemex (etwa 70 Millionen US-Dollar an Verlusten) und Noones, BitoPro und Coinbase wurden ebenfalls angegriffen.
Der am zweithäufigsten angegriffene Typ ist DeFi. Darunter wurden etwa 224 Millionen US-Dollar von Cetus Protocol gestohlen, was 69,1 % der gestohlenen Gelder in DeFi entspricht, und der Rest der DeFi-Projekte mit größeren Verlusten waren Abracadabra Finance (13 Millionen US-Dollar), Cork Protocol (etwa 12 Millionen US-Dollar), Resupply (etwa 9,6 Millionen US-Dollar), zkLend (etwa 9,5 Millionen US-Dollar), Ionic (etwa 8,8 Millionen US-Dollar), Alex Protocol (ca. 8,37 Millionen US-Dollar).
Darüber hinaus ereigneten sich 2 Sicherheitsvorfälle im Bereich der Krypto-Zahlungen mit einem Verlust von etwa 120 Millionen US-Dollar, was den dritten Platz unter allen Projekttypen bedeutet. Andere Arten von Projekten, die angegriffen wurden, sind: Browser, Token-Verträge, Cross-Chain-Bridges, Memecoin-Launchpads usw.
4. Die Höhe des Verlusts jeder Kette
Ethereum ist die Kette mit den höchsten Verlusten und den meisten Angriffen
Wie in den Vorjahren ist Ethereum nach wie vor die öffentliche Chain mit den höchsten Verlusten. Die 81 Angriffe auf Ethereum verursachten einen Schaden von 1,739 Milliarden US-Dollar oder 81,3 % der Gesamtverluste.
Die öffentliche Kette mit der zweithöchsten Anzahl von Angriffen ist BNB Chain mit 33 Angriffen, die einen Gesamtverlust von etwa 42,53 Millionen US-Dollar verursachten. BNB Chain hat eine große Anzahl von On-Chain-Angriffen und relativ geringe Verluste, aber im Vergleich zum gleichen Zeitraum des Vorjahres sind die Anzahl der Angriffe und die Höhe der Verluste deutlich gestiegen, und die Anzahl der Verluste ist um 357% gestiegen.
Arbitrum und Base belegten mit Verlusten von 21,2 Mio. $ bzw. 13,05 Mio. $ die Plätze drei und vier. Im Vergleich zum Vorjahreszeitraum ist die Zahl der Angriffe auf die Arbitrum-Chain gestiegen, aber die Höhe der Verluste ist um 71,8 % zurückgegangen; Die Anzahl der Base-Chain-Angriffe und die Anzahl der Verluste sind deutlich gestiegen, und die Anzahl der Verluste ist um 294 % gestiegen.
5. Analyse der Angriffsmethoden
70 % der Angriffe gehen auf Vertragsschwachstellen zurück
In der ersten Jahreshälfte gab es 63 Angriffe auf Vertragsschwachstellen, die zu Verlusten von 408 Millionen US-Dollar führten, die größte Art von Angriffen nach dem Diebstahl von Bybit aufgrund eines Fehlers in der Wallet-Infrastruktur. In der ersten Hälfte dieses Jahres waren die durch die Verletzung des privaten Schlüssels verursachten Schäden deutlich geringer als im gleichen Zeitraum des Vorjahres, aber die Gesamtschäden beliefen sich immer noch auf mehr als 102 Millionen US-Dollar.
Aufgeschlüsselt nach Vertragsschwachstellen waren die drei größten Schwachstellen, die Verluste verursachten: Schwachstellen in der Geschäftslogik (356 Millionen US-Dollar), Algorithmusfehler (21,37 Millionen US-Dollar) und Validierungsschwachstellen (12,7 Millionen US-Dollar). Die drei häufigsten Vertragsschwachstellen waren Schwachstellen in der Geschäftslogik (45 Mal), Schwachstellen in der Zugriffskontrolle (7 Mal) und Algorithmusfehler (5 Mal).
6. Analyse des Flusses gestohlener Gelder
Nur 11,1 % der gestohlenen Vermögenswerte wurden eingefroren und wiederhergestellt
Laut der Analyse der Anti-Geldwäsche-Plattform von Beosin KYT wurden in der ersten Hälfte des Jahres 2025 etwa 238 Millionen US-Dollar der gestohlenen Gelder eingefroren oder wiederhergestellt, was etwa 11,1 % entspricht.
Etwa 97,89 Millionen US-Dollar an gestohlenen Geldern wurden an Börsen überwiesen, was etwa 4,6 % entspricht. Insgesamt gingen 278 Mio. $ (13,0 %) an den Mixer: etwa 19,46 Mio. $ gingen an Tornado Cash; 259 Millionen US-Dollar wurden an andere Mischer überwiesen. In der ersten Hälfte des Jahres 2025 kam es im Vergleich zum Vorjahr zu einem deutlichen Anstieg der gestohlenen Gelder durch Münzmischung und Geldwäsche.
7. Zusammenfassung der Sicherheitslage der Web3-Blockchain in der ersten Hälfte des Jahres 2025
Im Vergleich zur ersten Hälfte des Jahres 2024 sind die Gesamtverluste, die durch Hacking, Phishing-Betrug und Rug Pull in der ersten Hälfte dieses Jahres verursacht wurden, deutlich gestiegen und erreichten 2,138 Milliarden US-Dollar. Die Zahl der Angriffe und Verluste auf Börsen und Mainstream-Public-Chain-Ökosysteme nimmt insgesamt zu, und die Situation im Bereich der Web3-Sicherheit ist nach wie vor sehr ernst.
Der schädlichste Angriff in der ersten Jahreshälfte war der Bybit-Diebstahl, der rund 67,4 % des Schadens ausmachte. Aus der Perspektive der Projekttypen sind die Angriffe im gesamten Web3-Bereich zu finden: Börsen, DeFi, persönliche Wallets, Infrastruktur, Token-Verträge, Zahlungsplattformen, Browser, Memecoin-Startplattformen usw. Jeder Web3-Projektinhaber/einzelne Benutzer muss wachsam sein, wenn es darum geht, private Schlüssel offline zu speichern, Mehrfachsignaturen zu verwenden, Dienste von Drittanbietern mit Vorsicht zu nutzen und regelmäßige Berechtigungsaktualisierungen und Sicherheitsschulungen für privilegierte Mitarbeiter durchzuführen.
Nur ein kleiner Bruchteil der Vermögenswerte wurde in der ersten Jahreshälfte eingefroren oder eingezogen, was darauf hindeutet, dass die weltweiten Regulierungs- und Geldwäschebekämpfungsmaßnahmen noch verstärkt werden müssen. In der ersten Jahreshälfte ging der Anteil der gestohlenen Gelder, die von Hackern an die Börse überwiesen wurden, deutlich zurück, was mit der Stärkung der Geldwäschebekämpfung der Börse, der rechtzeitigen Identifizierung von Hacking-Verhaltensweisen und der aktiven Zusammenarbeit mit Strafverfolgungsbehörden und Projektparteien zusammenhängt, um Gelder einzufrieren und Überprüfungen durchzuführen. Gegenwärtig hat die Zusammenarbeit zwischen der Börse und den Strafverfolgungsbehörden, Projektparteien und Sicherheitsteams offensichtliche Ergebnisse erzielt, so dass Hacker eher versuchen, eine Vielzahl von Münzmixern für die Geldwäsche auszuwählen.
Von den 90 Angriffen in der ersten Jahreshälfte wurden noch 63 durch Vertragsschwachstellen ausgenutzt, und es wird empfohlen, dass das Projektteam ein professionelles Sicherheitsunternehmen aufsucht, um ein Audit durchzuführen, bevor es live geht. Als eines der weltweit ersten Blockchain-Sicherheitsunternehmen, das sich mit formaler Verifizierung beschäftigt, konzentriert sich Beosin auf das ökologische Geschäft "Sicherheit + Compliance" und hat Niederlassungen in mehr als 10 Ländern und Regionen auf der ganzen Welt gegründet, die Blockchain-Compliance-Produkte + Sicherheitsdienstleistungen aus einer Hand abdecken, wie z. B. Code-Sicherheitsaudits vor dem Projektstart, Überwachung und Blockierung von Sicherheitsrisiken während der Projektlaufzeit, Wiederherstellung von Diebstahl, Anti-Geldwäsche (AML) virtueller Assets und Compliance-Bewertung in Übereinstimmung mit den lokalen regulatorischen Anforderungen.