Éxito de taquilla de Beosin | Análisis del panorama de seguridad de la blockchain Web3 en el primer semestre de 2025

Éxito de taquilla de Beosin | Análisis del panorama de seguridad de la blockchain Web3 en el primer semestre de 2025
Odaily
Odaily
ETH-0,51 %
SUI-1,62 %
BNB+0,02 %
BTC-0,19 %
SOL-0,65 %
TON+7,02 %
TRX+0,06 %
XRP+1,82 %
DOGE+0,21 %

*Este informe es elaborado conjuntamente por Beosin y Footprint Analytics

1. Visión general del panorama de la seguridad de la cadena de bloques Web3 en el primer semestre de 2025

Según Beosin Alert, la pérdida total causada por la piratería, las estafas de phishing y el Rug Pull en el campo de la Web3 en el primer semestre de 2025 será de unos 2.138 millones de dólares. Entre ellos, hubo 90 ataques importantes, con una pérdida total de unos 2.093 millones de dólares; Las pérdidas totales de Rug Pull ascendieron a aproximadamente 3,2 millones de dólares; La pérdida total de las estafas de phishing fue de unos 41,38 millones de dólares.

Desde la perspectiva de los tipos de proyectos atacados, los exchanges se han convertido en el tipo de proyectos con la mayor cantidad de pérdidas. Los seis ataques a la plataforma del exchange causaron un total de más de 1.591 millones de dólares en daños, lo que representa el 74,4% de todas las pérdidas por ataques.

En cuanto a la cantidad de pérdidas de cada cadena, Ethereum sigue siendo la cadena con la mayor cantidad de pérdidas y la mayor cantidad de eventos de ataque. Los 81 ataques a Ethereum causaron USD 1.739 millones en daños, o el 81,3% de las pérdidas totales. Sui perdió alrededor de 224 millones de dólares debido al incidente del Protocolo Cetus, ocupando el segundo lugar.

En cuanto a los métodos de ataque, en el primer semestre del año se produjeron los ataques más frecuentes que explotaron las vulnerabilidades de los contratos, con un total de 63 ataques, que provocaron pérdidas por 408 millones de dólares. Bybit fue el tipo de ataque con el mayor porcentaje de pérdidas debido a USD 1.44 mil millones robados debido a una falla en la infraestructura de la billetera, lo que representó el 67.4% de las pérdidas totales de los ataques.

En términos de flujos de fondos, solo una pequeña parte (alrededor de USD 238 millones) de los fondos robados se congelaron o recuperaron en la primera mitad del año, y alrededor del 71.2% de los fondos robados todavía circulan en billeteras on-chain y no han fluido hacia exchanges o mezcladores.

2. Resumen de los ataques en el primer semestre de 2025

Los 90 grandes ataques causaron un total de 2.093 millones de dólares en daños

En el primer semestre de 2025, Beosin Alert detectó un total de 90 ataques importantes en el espacio Web3, con una pérdida total de 2.093 millones de dólares. Entre ellos, hubo 2 incidentes de seguridad con pérdidas de más de 100 millones de dólares, 7 incidentes con pérdidas de entre 10 y 100 millones de dólares, y 18 incidentes con pérdidas de entre 1 millón y 10 millones de dólares.

Ataques con pérdidas superiores a 10 millones de dólares (en orden alfabético):

● Bybit: $ 1.44 mil millones

Método de ataque: El front-end de la billetera segura está manipulado Plataforma de la cadena: Ethereum

El 21 de febrero, el exchange de criptomonedas Bybit fue atacado y se robaron alrededor de USD 1.44 mil millones de fondos de su billetera multisig Safe. Al piratear los servidores de Safe, los piratas informáticos plantaron código malicioso que reemplazó las solicitudes de transacción normales, lo que provocó que el firmante firmara la transacción manipulada sin su conocimiento.

● Protocolo Cetus: 224 millones de dólares

Método de ataque: vulnerabilidad del contrato Plataforma de la cadena: Sui

El 22 de mayo, el protocolo DEX Cetus en el ecosistema Sui fue atacado, y su vulnerabilidad se originó a partir de un error de implementación de la operación shift-left en el código de la biblioteca de código abierto. Posteriormente, con la cooperación de la Fundación Sui y otros proyectos ecológicos, se han congelado con éxito 162 millones de dólares en fondos robados en Sui.

● Nobitex - 90 millones de dólares

Método de ataque: aún no está claro Plataforma de la cadena: multicadena

El 18 de junio, Nobitex, el mayor exchange de criptomonedas de Irán, anunció que había sido hackeado y había perdido más de 90 millones de dólares, relacionados con una variedad de criptomonedas como BTC, ETH, Doge, XRP, SOL, TRX y TON. Un grupo pro-israelí llamado "Gonjeshke Darande" se ha atribuido la responsabilidad del ataque y lo ha caracterizado como un ataque contra la infraestructura de criptomonedas de Irán.

● Phemex - 70 millones de dólares

Método de ataque: fuga de clave privada Plataforma de cadena: multicadena

El 23 de enero, se robaron alrededor de USD 70 millones en criptoactivos de la billetera caliente Phemex, un exchange de criptomonedas con sede en Singapur, que involucra múltiples criptoactivos como ETH, SOL, BTC, BNB, USDT y más.

● UPCX - 70 millones de dólares

Método de ataque: vulnerabilidad de control de acceso Plataforma de cadena: Ethereum

El 1 de abril, UPCX perdió alrededor de USD 70 millones en tokens debido al acceso no autorizado. Los piratas informáticos actualizaron el contrato ProxyAdmin de UPCX y, posteriormente, ejecutaron una función que permitía a los administradores retirar fondos, lo que resultaba en la transferencia de fondos desde tres cuentas de administración diferentes.

● Infini - 49,5 millones de dólares

Método de ataque: vulnerabilidad de gestión de permisos Plataforma de la cadena: Ethereum

El 24 de febrero, se robaron 49,5 millones de dólares de Infini después de que un desarrollador interno robara fondos mejorando el contrato engañando al equipo para que conservara en secreto los privilegios de gestión del contrato.

● Abracadabra Finance - 13 millones de dólares

Método de ataque: vulnerabilidad del contrato Plataforma de la cadena: Ethereum

El 25 de marzo, Abracadabra Finance, un protocolo de préstamos descentralizados, perdió alrededor de USD 13 millones al robar alrededor de 6,262 ETH debido a una laguna en el contrato.

● Cork Protocol - 12 millones de dólares

Método de ataque: vulnerabilidad del contrato Plataforma de la cadena: Ethereum

El 28 de mayo, Cork Protocol, un protocolo de activos ancla en la cadena Ether, fue atacado, y el atacante obtuvo una ganancia de USD 12 millones a través de una vulnerabilidad lógica en el contrato del proyecto (los parámetros clave no fueron verificados).

● BitoPro - 11,5 millones de dólares

Método de ataque: fuga de clave privada Plataforma de cadena: multicadena

El 2 de junio, el exchange de criptomonedas BitoPro emitió un anuncio confirmando el ataque, diciendo que su billetera caliente fue atacada por piratas informáticos durante la reciente actualización del sistema de billetera y la transferencia de criptoactivos, y que la salida anormal de fondos de múltiples billeteras calientes en cadena fue de aproximadamente USD 11.5 millones.

3. El tipo de proyecto a atacar

CEX es el tipo de proyecto con la mayor cantidad de pérdidas

El tipo de proyecto con mayores pérdidas en la primera mitad del año fue el de los exchanges centralizados, con seis ataques a exchanges centralizados que causaron un total de más de 1.591 millones de dólares en pérdidas, de los cuales la mayor pérdida fue Bybit, con una pérdida de unos 1.440 millones de dólares. El resto de las pérdidas más grandes fueron Nobitex (alrededor de USD 90 millones en pérdidas), Phemex (alrededor de USD 70 millones en pérdidas) y Noones, BitoPro y Coinbase también fueron atacados.

El segundo tipo más atacado es DeFi. Entre ellos, se robaron unos 224 millones de dólares de Cetus Protocol, lo que representa el 69.1% de los fondos robados en DeFi, y el resto de los proyectos de DeFi con mayores pérdidas fueron Abracadabra Finance (13 millones de dólares), Cork Protocol (unos 12 millones de dólares), Resupply (unos 9.6 millones de dólares), zkLend (unos 9.5 millones de dólares), Ionic (unos 8.8 millones de dólares), Alex Protocolo (aproximadamente 8,37 millones de dólares).

Además, ocurrieron 2 incidentes de seguridad en el espacio de pagos con criptomonedas, con una pérdida de alrededor de USD 120 millones, ocupando el tercer lugar entre todos los tipos de proyectos. Otros tipos de proyectos que han sido atacados incluyen: navegadores, contratos de tokens, puentes entre cadenas, plataformas de lanzamiento de Memecoin, etc.

4. El monto de la pérdida de cada cadena

Ethereum es la cadena con la mayor cantidad de pérdidas y más ataques

Al igual que en años anteriores, Ethereum sigue siendo la cadena pública con la mayor cantidad de pérdidas. Los 81 ataques a Ethereum causaron USD 1.739 millones en daños, o el 81,3% de las pérdidas totales.

La cadena pública con el segundo mayor número de ataques es BNB Chain, con 33 ataques que causaron una pérdida total de unos 42,53 millones de dólares. BNB Chain tiene una gran cantidad de ataques en la cadena y pérdidas relativamente pequeñas, pero en comparación con el mismo período del año pasado, la cantidad de ataques y la cantidad de pérdidas han aumentado significativamente, y la cantidad de pérdidas ha aumentado en un 357%.

Arbitrum y Base ocuparon el tercer y cuarto lugar, respectivamente, con pérdidas de 21,2 millones de dólares y 13,05 millones de dólares, respectivamente. En comparación con el mismo período del año pasado, el número de ataques a la cadena Arbitrum ha aumentado, pero la cantidad de pérdidas ha disminuido en un 71,8%; El número de ataques de la cadena base y la cantidad de pérdidas han aumentado significativamente, y la cantidad de pérdidas ha aumentado en un 294%.

5. Análisis de los métodos de ataque

El 70% de los ataques provienen de vulnerabilidades de contratos

En la primera mitad del año, hubo 63 ataques contra vulnerabilidades de contratos, lo que resultó en pérdidas de 408 millones de dólares, el tipo de ataque más grande a excepción del robo de Bybit debido a una falla en la infraestructura de la billetera. En la primera mitad de este año, las pérdidas causadas por la violación de la clave privada fueron significativamente menores que en el mismo período del año pasado, pero las pérdidas totales siguieron siendo de más de 102 millones de dólares.

Desglosadas por vulnerabilidades contractuales, las tres principales vulnerabilidades que causaron pérdidas fueron: vulnerabilidades de lógica empresarial (356 millones de dólares), fallos de algoritmo (21,37 millones de dólares) y vulnerabilidades de validación (12,7 millones de dólares). Las tres principales vulnerabilidades contractuales fueron las vulnerabilidades de lógica empresarial (45 veces), las vulnerabilidades de control de acceso (7 veces) y los defectos del algoritmo (5 veces).

6. Análisis del flujo de fondos robados

Solo el 11,1% de los activos robados fueron congelados y recuperados

Según el análisis de la plataforma contra el lavado de dinero de Beosin KYT, se congelaron o recuperaron alrededor de USD 238 millones de los fondos robados en la primera mitad de 2025, lo que representa alrededor del 11.1%.

Alrededor de USD 97.89 millones en fondos robados se transfirieron a los exchanges, lo que representa alrededor del 4.6%. Un total de 278 millones de dólares (13,0%) fueron para la mezcla: unos 19,46 millones de dólares fueron para Tornado Cash; Se transfirieron 259 millones de dólares a otras mezcladoras. En el primer semestre de 2025, hubo un aumento significativo de los fondos robados a través de la mezcla y el lavado de monedas en comparación con el año pasado.

7. Resumen de la situación de la seguridad de la blockchain Web3 en el primer semestre de 2025

En comparación con el primer semestre de 2024, las pérdidas totales causadas por la piratería, las estafas de phishing y el Rug Pull en el primer semestre de este año han aumentado significativamente, alcanzando los 2.138 millones de dólares. El número de ataques y pérdidas en los exchanges y en los principales ecosistemas de la cadena pública está aumentando en su conjunto, y la situación en el campo de la seguridad Web3 sigue siendo muy grave.

El ataque más dañino en la primera mitad del año fue el robo de Bybit, que representó alrededor del 67,4% de las pérdidas. Desde el punto de vista de los tipos de proyectos, los ataques están en todo el campo de la Web3: exchanges, DeFi, carteras personales, infraestructuras, contratos de tokens, plataformas de pago, navegadores, plataformas de lanzamiento de Memecoin, etc. Todos los propietarios/usuarios individuales de proyectos Web3 deben estar atentos al almacenamiento de claves privadas fuera de línea, utilizar múltiples firmas, utilizar servicios de terceros con precaución y realizar actualizaciones periódicas de permisos y formación en seguridad para los empleados privilegiados.

Solo una pequeña fracción de los activos fueron congelados o recuperados en el primer semestre del año, lo que sugiere que aún es necesario fortalecer los esfuerzos globales de regulación y lucha contra el lavado de dinero. En la primera mitad del año, la proporción de fondos robados transferidos por piratas informáticos al exchange disminuyó significativamente, lo que está relacionado con el fortalecimiento de la lucha contra el lavado de dinero, la identificación oportuna de comportamientos de piratería y la cooperación activa con las agencias de aplicación de la ley y las partes del proyecto para congelar fondos y realizar verificaciones. En la actualidad, la cooperación entre el exchange y las agencias de aplicación de la ley, las partes del proyecto y los equipos de seguridad ha logrado resultados obvios, por lo que es más probable que los piratas informáticos intenten elegir una variedad de mezcladores de monedas para el lavado de fondos.

De los 90 ataques registrados en la primera mitad del año, 63 seguían siendo explotados por vulnerabilidades contractuales, y se recomienda que el equipo del proyecto busque una empresa de seguridad profesional para realizar una auditoría antes de ponerlo en marcha. Como una de las primeras empresas de seguridad de blockchain del mundo dedicada a la verificación formal, Beosin se centra en el negocio ecológico de "seguridad + cumplimiento", y ha establecido sucursales en más de 10 países y regiones de todo el mundo, cubriendo productos de cumplimiento de blockchain + servicios de seguridad "integrales", como auditoría de seguridad de código antes del lanzamiento del proyecto, monitoreo y bloqueo de riesgos de seguridad durante el tiempo de ejecución del proyecto, recuperación de robos, lucha contra el lavado de dinero (AML) de activos virtuales y evaluación de cumplimiento en línea con los requisitos regulatorios locales.

Mostrar original
Visitar origen
34,97 mil
0
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.