Beosin Blockbuster | Web3 blockchain security landscape analyse in de eerste helft van 2025
*Dit rapport is gezamenlijk geproduceerd door Beosin en Footprint Analytics
1. Overzicht van het Web3 blockchain-beveiligingslandschap in de eerste helft van 2025
Volgens Beosin Alert zal het totale verlies veroorzaakt door hacking, phishing-zwendel en Rug Pull in het Web3-veld in de eerste helft van 2025 ongeveer $ 2.138 miljard bedragen. Onder hen waren er 90 grote aanslagen, met een totaal verlies van ongeveer $ 2.093 miljard; De totale verliezen van Rug Pull bedroegen ongeveer $ 3.2 miljoen; Het totale verlies van phishing-zwendel bedroeg ongeveer $ 41.38 miljoen.
Vanuit het perspectief van het soort projecten dat wordt aangevallen, zijn beurzen het type projecten geworden met de hoogste verliezen. De zes aanvallen op het uitwisselingsplatform veroorzaakten in totaal meer dan $ 1,591 miljard aan schade, goed voor 74,4% van alle aanvalsverliezen.
In termen van de hoeveelheid verliezen van elke keten is Ethereum nog steeds de keten met het hoogste verliesbedrag en de meeste aanvalsgebeurtenissen. De 81 aanvallen op Ethereum veroorzaakten $1,739 miljard aan schade, of 81,3% van de totale verliezen. Sui verloor ongeveer $ 224 miljoen als gevolg van het incident met het Cetus-protocol en stond op de tweede plaats.
Wat de aanvalsmethoden betreft, waren er in de eerste helft van het jaar de meest voorkomende aanvallen waarbij gebruik werd gemaakt van contractkwetsbaarheden, met in totaal 63 aanvallen, resulterend in verliezen van $ 408 miljoen. Bybit was het type aanval met het hoogste percentage verliezen als gevolg van $ 1.44 miljard gestolen als gevolg van een fout in de infrastructuur van de portemonnee, goed voor 67.4% van de totale aanvalsverliezen.
In termen van geldstromen werd slechts een klein deel (ongeveer $ 238 miljoen) van de gestolen fondsen in de eerste helft van het jaar bevroren of teruggevorderd, en ongeveer 71.2% van de gestolen fondsen circuleert nog steeds in on-chain wallets en is niet naar beurzen of mixers gestroomd.
2. Overzicht van aanslagen in de eerste helft van 2025
De 90 grote aanslagen resulteerden in een totaal van $ 2.093 miljard aan schade
In de eerste helft van 2025 detecteerde Beosin Alert in totaal 90 grote aanvallen in de Web3-ruimte, met een totaal verlies van $ 2.093 miljard. Onder hen waren er 2 beveiligingsincidenten met verliezen van meer dan $ 100 miljoen, 7 incidenten met verliezen in het bereik van $ 10 miljoen tot $ 100 miljoen, en 18 incidenten met verliezen in het bereik van $ 1 miljoen tot $ 10 miljoen.
Aanslagen met verliezen van meer dan 10 miljoen dollar (in alfabetische volgorde):
● Bybit - $ 1.44 miljard
Aanvalsmethode: Veilige portemonnee front-end is geknoeid met Chain-platform: Ethereum
Op 21 februari werd cryptocurrency-uitwisseling Bybit aangevallen en werd ongeveer $ 1,44 miljard aan geld gestolen uit de Safe multisig-portemonnee. Door de servers van Safe te hacken, plantten de hackers kwaadaardige code die normale transactieverzoeken verving, waardoor de ondertekenaar de gemanipuleerde transactie zonder zijn medeweten ondertekende.
● Cetus-protocol - $ 224 miljoen
Aanvalsmethode: contract kwetsbaarheid Chain platform: Sui
Op 22 mei werd het DEX Cetus-protocol op het Sui-ecosysteem aangevallen en de kwetsbaarheid ervan was het gevolg van een implementatiefout van de shift-left-bewerking in de open-source bibliotheekcode. Vervolgens is met de medewerking van de Sui Foundation en andere ecologische projecten 162 miljoen dollar aan gestolen geld op Sui met succes bevroren.
● Nobitex - $ 90 miljoen
Aanvalswijze: nog niet duidelijk Ketenplatform: multi-keten
Op 18 juni kondigde Nobitex, de grootste cryptobeurs van Iran, aan dat het was gehackt en meer dan $90 miljoen had verloren, waarbij een verscheidenheid aan cryptocurrencies betrokken was, zoals BTC, ETH, Doge, XRP, SOL, TRX en TON. Een pro-Israëlische groep genaamd "Gonjeshke Darande" heeft de verantwoordelijkheid voor de aanval opgeëist en gekarakteriseerd als een aanval op de crypto-infrastructuur van Iran.
● Phemex - $ 70 miljoen
Aanvalsmethode: lekken van privésleutels Ketenplatform: meerdere ketens
Op 23 januari werd ongeveer $70 miljoen aan crypto-activa gestolen uit de Phemex hot wallet, een in Singapore gevestigde cryptocurrency-uitwisseling, waarbij meerdere crypto-activa betrokken waren, zoals ETH, SOL, BTC, BNB, USDT en meer.
● UPCX - $ 70 miljoen
Aanvalsmethode: kwetsbaarheid voor toegangscontrole Ketenplatform: Ethereum
Op 1 april verloor UPCX ongeveer $70 miljoen aan tokens als gevolg van ongeoorloofde toegang. De hackers hebben het ProxyAdmin-contract van UPCX geüpgraded en vervolgens een functie geïmplementeerd waarmee beheerders geld konden opnemen, waardoor geld werd overgemaakt van drie verschillende beheeraccounts.
● Infini - $ 49.5 miljoen
Aanvalsmethode: kwetsbaarheid voor toestemmingsbeheer Ketenplatform: Ethereum
Op 24 februari werd $ 49.5 miljoen gestolen van Infini nadat een interne ontwikkelaar geld had gestolen door het contract te upgraden door het team te misleiden om in het geheim contractbeheerrechten te behouden.
● Abracadabra Finance - $ 13 miljoen
Aanvalsmethode: contract kwetsbaarheid Chain platform: Ethereum
Op 25 maart verloor Abracadabra Finance, een gedecentraliseerd leenprotocol, ongeveer $ 13 miljoen door ongeveer 6.262 ETH te stelen als gevolg van een maas in het contract.
● Protocol van Cork - $ 12 miljoen
Aanvalsmethode: contract kwetsbaarheid Chain platform: Ethereum
Op 28 mei werd Cork Protocol, een anchor asset-protocol op de Ether-keten, aangevallen en de aanvaller maakte een winst van $ 12 miljoen via een logische kwetsbaarheid in het contract van het project (belangrijke parameters werden niet geverifieerd).
● BitoPro - $ 11.5 miljoen
Aanvalsmethode: lekken van privésleutels Ketenplatform: meerdere ketens
Op 2 juni gaf crypto-uitwisseling BitoPro een aankondiging uit waarin de aanval werd bevestigd en zei dat de hot wallet werd aangevallen door hackers tijdens de recente upgrade van het wallet-systeem en de overdracht van crypto-activa, en dat de abnormale uitstroom van geld uit meerdere on-chain hot wallets ongeveer $ 11,5 miljoen bedroeg.
3. Het type project dat moet worden aangevallen
CEX is het type project met het hoogste verliesbedrag
Het type project met de hoogste verliezen in de eerste helft van het jaar waren gecentraliseerde beurzen, met zes aanvallen op gecentraliseerde beurzen die in totaal meer dan $ 1,591 miljard aan verliezen veroorzaakten, waarvan het grootste verlies Bybit was, met een verlies van ongeveer $ 1,44 miljard. De rest van de grotere verliezen waren Nobitex (ongeveer $ 90 miljoen aan verliezen), Phemex (ongeveer $ 70 miljoen aan verliezen) en Noones, BitoPro en Coinbase werden ook aangevallen.
Het op één na meest aangevallen type is DeFi. Onder hen werd ongeveer $ 224 miljoen gestolen van Cetus Protocol, goed voor 69.1% van het gestolen geld in DeFi, en de rest van de DeFi-projecten met grotere verliezen waren Abracadabra Finance ($ 13 miljoen), Cork Protocol (ongeveer $ 12 miljoen), Resupply (ongeveer $ 9.6 miljoen), zkLend (ongeveer $ 9.5 miljoen), Ionic (ongeveer $ 8.8 miljoen), Alex Protocol (ongeveer $ 8.37 miljoen).
Bovendien deden zich 2 beveiligingsincidenten voor in de crypto-betalingsruimte, met een verlies van ongeveer $120 miljoen, waarmee het op de derde plaats staat van alle projecttypen. Andere soorten projecten die zijn aangevallen zijn: browsers, tokencontracten, cross-chain bridges, Memecoin launchpads, enz.
4. De mate van verlies van elke ketting
Ethereum is de keten met de meeste verliezen en de meeste aanvallen
Net als in voorgaande jaren is Ethereum nog steeds de publieke keten met het hoogste verlies. De 81 aanvallen op Ethereum veroorzaakten $1,739 miljard aan schade, of 81,3% van de totale verliezen.
De openbare keten met het op één na hoogste aantal aanvallen is BNB Chain, met 33 aanvallen die een totaal verlies van ongeveer $ 42.53 miljoen veroorzaken. BNB Chain heeft een groot aantal on-chain aanvallen en relatief kleine verliezen, maar in vergelijking met dezelfde periode vorig jaar is het aantal aanvallen en de hoeveelheid verliezen aanzienlijk toegenomen en is het aantal verliezen met 357% toegenomen.
Arbitrum en Base stonden respectievelijk op de derde en vierde plaats, met verliezen van respectievelijk $ 21,2 miljoen en $ 13,05 miljoen. In vergelijking met dezelfde periode vorig jaar is het aantal aanvallen op de Arbitrum-keten toegenomen, maar het aantal verliezen is met 71,8% afgenomen; Het aantal Base chain-aanvallen en het aantal verliezen is aanzienlijk toegenomen en het aantal verliezen is met 294% toegenomen.
5. Analyse van aanvalsmethoden
70% van de aanvallen komt voort uit kwetsbaarheden in contracten
In de eerste helft van het jaar waren er 63 aanvallen op contractkwetsbaarheden, resulterend in verliezen van $ 408 miljoen, het grootste type aanval behalve de diefstal van Bybit als gevolg van een fout in de portemonnee-infrastructuur. In de eerste helft van dit jaar waren de verliezen als gevolg van de inbreuk op de private key aanzienlijk lager dan in dezelfde periode vorig jaar, maar de totale verliezen bedroegen nog steeds meer dan $ 102 miljoen.
Uitgesplitst naar contractkwetsbaarheden waren de top drie kwetsbaarheden die verliezen veroorzaakten: kwetsbaarheden in bedrijfslogica ($ 356 miljoen), algoritmefouten ($ 21,37 miljoen) en validatiekwetsbaarheden ($ 12,7 miljoen). De top drie van kwetsbaarheden in contracten waren kwetsbaarheden in de bedrijfslogica (45 keer), kwetsbaarheden in toegangscontrole (7 keer) en algoritmedefecten (5 keer).
6. Analyse van de geldstromen
Slechts 11,1% van de gestolen activa werd bevroren en teruggevonden
Volgens de analyse van het antiwitwasplatform van Beosin KYT werd in de eerste helft van 2025 ongeveer $ 238 miljoen van de gestolen fondsen bevroren of teruggevorderd, goed voor ongeveer 11.1%.
Ongeveer $ 97,89 miljoen aan gestolen geld werd overgemaakt naar beurzen, goed voor ongeveer 4,6%. In totaal ging $ 278 miljoen (13.0%) naar de mixer: ongeveer $ 19.46 miljoen ging naar Tornado Cash; $ 259 miljoen werd overgemaakt naar andere mixers. In de eerste helft van 2025 was er een aanzienlijke toename van gestolen geld door het mengen en witwassen van munten in vergelijking met vorig jaar.
7. Samenvatting van de Web3 blockchain-beveiligingssituatie in de eerste helft van 2025
Vergeleken met de eerste helft van 2024 zijn de totale verliezen veroorzaakt door hacking, phishing-zwendel en Rug Pull in de eerste helft van dit jaar aanzienlijk gestegen tot $ 2.138 miljard. Het aantal aanvallen en verliezen op beurzen en reguliere ecosystemen van openbare ketens neemt als geheel toe en de situatie op het gebied van Web3-beveiliging is nog steeds zeer ernstig.
De meest schadelijke aanval in de eerste helft van het jaar was de Bybit-diefstal, die goed was voor ongeveer 67,4% van het verlies. Vanuit het perspectief van projecttypen zijn de aanvallen overal op het Web3-gebied: beurzen, DeFi, persoonlijke portemonnees, infrastructuur, tokencontracten, betalingsplatforms, browsers, Memecoin-lanceringsplatforms, enz. Elke Web3-projecteigenaar/individuele gebruiker moet waakzaam zijn over het offline opslaan van privésleutels, het gebruik van meerdere handtekeningen, het voorzichtig gebruiken van services van derden en het uitvoeren van regelmatige toestemmingsupdates en beveiligingstraining voor bevoorrechte werknemers.
Slechts een klein deel van de activa werd in de eerste helft van het jaar bevroren of teruggevorderd, wat erop wijst dat de wereldwijde inspanningen op het gebied van regelgeving en witwaspraktijken nog moeten worden versterkt. In de eerste helft van het jaar is het aandeel gestolen geld dat door hackers naar de beurs is overgemaakt aanzienlijk afgenomen, wat verband houdt met de versterking van de antiwitwaspraktijken door de beurs, de tijdige identificatie van hackgedrag en de actieve samenwerking met wetshandhavingsinstanties en projectpartijen om fondsen te bevriezen en verificatie uit te voeren. Op dit moment heeft de samenwerking tussen de beurs en wetshandhavingsinstanties, projectpartijen en beveiligingsteams duidelijke resultaten opgeleverd, dus hackers zullen eerder proberen een verscheidenheid aan muntmixers te kiezen voor het witwassen van fondsen.
Van de 90 aanvallen in de eerste helft van het jaar werden er nog 63 uitgebuit door contractkwetsbaarheden, en het wordt aanbevolen dat het projectteam een professioneel beveiligingsbedrijf zoekt om een audit uit te voeren voordat ze live gaan. Als een van 's werelds eerste blockchain-beveiligingsbedrijven die zich bezighoudt met formele verificatie, richt Beosin zich op de ecologische business "security + compliance" en heeft het vestigingen opgezet in meer dan 10 landen en regio's over de hele wereld, die betrekking hebben op "one-stop" blockchain-complianceproducten + beveiligingsdiensten zoals codebeveiligingsaudit vóór de lancering van het project, monitoring en blokkering van beveiligingsrisico's tijdens de looptijd van het project, herstel van diefstal, anti-witwaspraktijken van virtuele activa (AML) en nalevingsbeoordeling in overeenstemming met lokale wettelijke vereisten.