Beosin Blockbuster | Web3 blockchain-sikkerhetslandskapsanalyse i første halvdel av 2025
*Denne rapporten er produsert i fellesskap av Beosin og Footprint Analytics
1. Oversikt over Web3-blokkjedesikkerhetslandskapet i første halvdel av 2025
I følge Beosin Alert vil det totale tapet forårsaket av hacking, phishing-svindel og Rug Pull i Web3-feltet i første halvdel av 2025 være rundt 2.138 milliarder dollar. Blant dem var det 90 store angrep, med et totalt tap på rundt 2,093 milliarder dollar; Rug Pulls totale tap beløp seg til omtrent 3,2 millioner dollar; Det totale tapet av phishing-svindel var rundt 41,38 millioner dollar.
Fra perspektivet til prosjekttypene som angripes, har børser blitt den typen prosjekter med høyest tap. De seks angrepene på utvekslingsplattformen forårsaket totalt mer enn 1,591 milliarder dollar i skader, og utgjorde 74,4 % av alle angrepstap.
Når det gjelder mengden tap for hver kjede, er Ethereum fortsatt kjeden med høyest tapsbeløp og flest angrepshendelser. De 81 angrepene på Ethereum forårsaket 1,739 milliarder dollar i skader, eller 81,3 % av de totale tapene. Sui tapte rundt 224 millioner dollar på grunn av Cetus Protocol-hendelsen, og ble nummer to.
Når det gjelder angrepsmetoder, så første halvår de hyppigste angrepene som utnyttet kontraktssårbarheter, med totalt 63 angrep, noe som resulterte i tap på 408 millioner dollar. Bybit var den typen angrep med høyest prosentandel av tap på grunn av 1,44 milliarder dollar stjålet på grunn av en feil i lommebokens infrastruktur, og sto for 67,4 % av de totale angrepstapene.
Når det gjelder fondsstrømmer, ble bare en liten del (ca. 238 millioner dollar) av stjålne midler frosset eller gjenvunnet i første halvår, og omtrent 71,2 % av de stjålne midlene sirkulerer fortsatt i lommebøker på kjeden og har ikke strømmet inn på børser eller miksere.
2. Oversikt over angrep i første halvdel av 2025
De 90 store angrepene resulterte i totalt 2.093 milliarder dollar i skader
I første halvdel av 2025 oppdaget Beosin Alert totalt 90 store angrep i Web3-området, med et totalt tap på 2,093 milliarder dollar. Blant dem var det 2 sikkerhetshendelser med tap på mer enn 100 millioner dollar, 7 hendelser med tap i området 10 millioner dollar til 100 millioner dollar, og 18 hendelser med tap i området 1 million til 10 millioner dollar.
Angrep med tap på over USD 10 millioner (i alfabetisk rekkefølge):
● Bybit - 1,44 milliarder dollar
Angrepsmetode: Safe wallet-front-end er tuklet med Chain-plattform: Ethereum
21. februar ble kryptovalutabørsen Bybit angrepet, og rundt 1,44 milliarder dollar i midler ble stjålet fra Safe multisig-lommeboken. Ved å hacke seg inn på Safes servere plantet hackerne ondsinnet kode som erstattet vanlige transaksjonsforespørsler, noe som fikk underskriveren til å signere den manipulerte transaksjonen uten deres viten.
● Cetus-protokollen - 224 millioner dollar
Angrepsmetode: kontraktssårbarhet Kjedeplattform: Sui
22. mai ble DEX Cetus-protokollen på Sui-økosystemet angrepet, og sårbarheten stammet fra en implementeringsfeil av shift-left-operasjonen i åpen kildekode-bibliotekkoden. Deretter, i samarbeid med Sui Foundation og andre økologiske prosjekter, har 162 millioner dollar i stjålne midler på Sui blitt frosset.
● Nobitex - 90 millioner dollar
Angrepsmetode: ennå ikke klar Kjedeplattform: multikjede
18. juni kunngjorde Nobitex, Irans største kryptobørs, at den hadde blitt hacket og tapt mer enn 90 millioner dollar, som involverte en rekke kryptovalutaer som BTC, ETH, Doge, XRP, SOL, TRX og TON. En pro-israelsk gruppe kalt «Gonjeshke Darande» har påtatt seg ansvaret for angrepet og karakterisert det som et angrep mot Irans kryptoinfrastruktur.
● Phemex - 70 millioner dollar
Angrepsmetode: privat nøkkellekkasje Kjedeplattform: multikjede
23. januar ble rundt 70 millioner dollar i kryptoaktiva stjålet fra Phemex hot wallet, en Singapore-basert kryptovalutabørs, som involverte flere kryptoaktiva som ETH, SOL, BTC, BNB, USDT og mer.
● UPCX - 70 millioner dollar
Angrepsmetode: sårbarhet for tilgangskontroll Kjedeplattform: Ethereum
1. april tapte UPCX tokens verdt rundt 70 millioner dollar på grunn av uautorisert tilgang. Hackerne oppgraderte UPCXs ProxyAdmin-kontrakt og utførte deretter en funksjon som tillot administratorer å ta ut penger, noe som resulterte i at midler ble overført fra tre forskjellige administrasjonskontoer.
● Infini - 49,5 millioner dollar
Angrepsmetode: sårbarhet for tillatelsesadministrasjon Kjedeplattform: Ethereum
24. februar ble 49.5 millioner dollar stjålet fra Infini etter at en intern utvikler stjal midler ved å oppgradere kontrakten ved å lure teamet til å beholde kontraktsadministrasjonsprivilegier i hemmelighet.
● Abracadabra Finance - 13 millioner dollar
Angrepsmetode: kontraktssårbarhet Kjedeplattform: Ethereum
25. mars tapte Abracadabra Finance, en desentralisert utlånsprotokoll, rundt 13 millioner dollar ved å stjele rundt 6 262 ETH på grunn av et kontraktssmutthull.
● Cork-protokollen - 12 millioner dollar
Angrepsmetode: kontraktssårbarhet Kjedeplattform: Ethereum
28. mai ble Cork Protocol, en ankeraktivaprotokoll på Ether-kjeden, angrepet, og angriperen tjente 12 millioner dollar gjennom en logisk sårbarhet i prosjektets kontrakt (nøkkelparametere ble ikke verifisert).
● BitoPro - 11,5 millioner dollar
Angrepsmetode: privat nøkkellekkasje Kjedeplattform: multikjede
2. juni utstedte kryptobørsen BitoPro en kunngjøring som bekreftet angrepet, og sa at den varme lommeboken ble angrepet av hackere under den nylige oppgraderingen av lommeboksystemet og overføringen av kryptoaktiva, og den unormale utstrømningen av midler fra flere hot-wallets på kjeden var rundt 11,5 millioner dollar.
3. Type prosjekt som skal angripes
CEX er den typen prosjekt med høyest tap
Den typen prosjekt med høyest tap i første halvår var sentraliserte børser, med seks angrep på sentraliserte børser som forårsaket totalt mer enn 1,591 milliarder dollar i tap, hvorav det største tapet var Bybit, med et tap på rundt 1,44 milliarder dollar. Resten av de større tapene var Nobitex (ca. 90 millioner dollar i tap), Phemex (ca. 70 millioner dollar i tap), og Noones, BitoPro og Coinbase ble også angrepet.
Den nest mest angrepne typen er DeFi. Blant dem ble rundt 224 millioner dollar stjålet fra Cetus Protocol, som sto for 69.1 % av de stjålne midlene i DeFi, og resten av DeFi-prosjektene med større tap var Abracadabra Finance (13 millioner dollar), Cork Protocol (omtrent 12 millioner dollar), Resupply (omtrent 9.6 millioner dollar), zkLend (omtrent 9.5 millioner dollar), Ionic (omtrent 8.8 millioner dollar), Alex Protokoll (omtrent 8,37 millioner dollar).
I tillegg skjedde det 2 sikkerhetshendelser i kryptobetalingsområdet, med et tap på rundt 120 millioner dollar, og rangerte på tredjeplass blant alle prosjekttyper. Andre typer prosjekter som har blitt angrepet inkluderer: nettlesere, token-kontrakter, krysskjedebroer, Memecoin-lanseringsramper, etc.
4. Mengden tap av hver kjede
Ethereum er kjeden med flest tap og flest angrep
Som tidligere år er Ethereum fortsatt den offentlige kjeden med høyest tap. De 81 angrepene på Ethereum forårsaket 1,739 milliarder dollar i skader, eller 81,3 % av de totale tapene.
Den offentlige kjeden med det nest høyeste antallet angrep er BNB Chain, med 33 angrep som forårsaker et totalt tap på rundt 42,53 millioner dollar. BNB Chain har et stort antall on-chain angrep og relativt små tap, men sammenlignet med samme periode i fjor har antall angrep og tapsmengden økt betydelig, og tapsmengden har økt med 357 %.
Arbitrum og Base ble rangert som henholdsvis tredje og fjerde, med tap på henholdsvis 21,2 millioner dollar og 13,05 millioner dollar. Sammenlignet med samme periode i fjor har antall angrep på Arbitrum-kjeden økt, men tapsmengden har gått ned med 71,8 %; Antall basiskjedeangrep og tapsmengden har økt betydelig, og tapsmengden har økt med 294 %.
5. Analyse av angrepsmetoder
70 % av angrepene kommer fra kontraktssårbarheter
I første halvår var det 63 angrep mot kontraktssårbarheter, noe som resulterte i tap på 408 millioner dollar, den største typen angrep bortsett fra Bybits tyveri på grunn av en feil i lommebokinfrastrukturen. I første halvår i år var tapene forårsaket av bruddet på private nøkkel betydelig lavere enn i samme periode i fjor, men de totale tapene var fortsatt mer enn 102 millioner dollar.
Fordelt på kontraktssårbarheter var de tre største sårbarhetene som forårsaket tap: forretningslogiske sårbarheter (356 millioner dollar), algoritmefeil (21,37 millioner dollar) og valideringssårbarheter (12,7 millioner dollar). De tre største kontraktssårbarhetene var sårbarheter i forretningslogikk (45 ganger), sårbarheter i tilgangskontroll (7 ganger) og algoritmefeil (5 ganger).
6. Analyse av strømmen av stjålne midler
Bare 11,1 % av stjålne eiendeler ble frosset og gjenvunnet
I følge Beosin KYTs anti-hvitvaskingsplattformanalyse ble rundt 238 millioner dollar av de stjålne midlene i første halvdel av 2025 frosset eller gjenvunnet, noe som utgjorde omtrent 11.1 %.
Rundt 97,89 millioner dollar i stjålne midler ble overført til børser, noe som utgjorde omtrent 4,6 %. Totalt 278 millioner dollar (13,0 %) gikk til mikseren: rundt 19,46 millioner dollar gikk til Tornado Cash; 259 millioner dollar ble overført til andre miksere. I første halvdel av 2025 var det en betydelig økning i stjålne midler gjennom myntblanding og hvitvasking sammenlignet med i fjor.
7. Sammendrag av sikkerhetssituasjonen for Web3-blokkjeden i første halvdel av 2025
Sammenlignet med første halvdel av 2024 har de totale tapene forårsaket av hacking, phishing-svindel og Rug Pull i første halvdel av dette året steget betydelig, og nådde 2.138 milliarder dollar. Antall angrep og tap på børser og vanlige offentlige kjedeøkosystemer øker som helhet, og situasjonen innen Web3-sikkerhetsfeltet er fortsatt svært alvorlig.
Det mest ødeleggende angrepet i første halvår var Bybit-tyveriet, som sto for omtrent 67,4 % av tapet. Fra perspektivet til prosjekttyper er angrepene over hele Web3-feltet: børser, DeFi, personlige lommebøker, infrastruktur, token-kontrakter, betalingsplattformer, nettlesere, Memecoin-lanseringsplattformer, etc. Hver Web3-prosjekteier/individuell bruker må være årvåken når det gjelder å lagre private nøkler offline, bruke multisignaturer, bruke tredjepartstjenester med forsiktighet og gjennomføre regelmessige tillatelsesoppdateringer og sikkerhetsopplæring for privilegerte ansatte.
Bare en liten brøkdel av eiendelene ble frosset eller gjenvunnet i første halvår, noe som tyder på at den globale regulatoriske og anti-hvitvaskingsinnsatsen fortsatt må styrkes. I første halvår falt andelen stjålne midler overført av hackere til børsen betydelig, noe som er relatert til børsens styrking av anti-hvitvasking av penger, rettidig identifisering av hackingatferd og aktivt samarbeid med rettshåndhevelsesbyråer og prosjektparter for å fryse midler og utføre verifisering. For tiden har samarbeidet mellom børsen og rettshåndhevelsesbyråer, prosjektparter og sikkerhetsteam oppnådd åpenbare resultater, så hackere er mer sannsynlig å prøve å velge en rekke myntmiksere for hvitvasking av midler.
Blant de 90 angrepene i første halvår ble 63 fortsatt utnyttet av kontraktssårbarheter, og det anbefales at prosjektgruppen søker et profesjonelt sikkerhetsselskap for å gjennomføre en revisjon før de går live. Som et av verdens tidligste blokkjedesikkerhetsselskaper som er engasjert i formell verifisering, fokuserer Beosin på den økologiske virksomheten "sikkerhet + samsvar", og har satt opp filialer i mer enn 10 land og regioner rundt om i verden, som dekker "one-stop" blokkjedesamsvarsprodukter + sikkerhetstjenester som kodesikkerhetsrevisjon før prosjektlansering, sikkerhetsrisikoovervåking og blokkering under prosjektkjøring, tyverigjenoppretting, anti-hvitvasking av virtuelle eiendeler (AML) og samsvarsvurdering i tråd med lokale regulatoriske krav.