CertiK报告：2025年Web3损失增37%，供应链与钓鱼成主因

12月23日，全球领先的Web3安全公司CertiK发布了《2025 Skynet Hack3D Web3安全报告》，全面回顾了过去一年中Web3领域的主要安全事件与风险趋势。报告显示，尽管市场环境回暖且监管预期更加清晰，但系统性安全挑战依然严峻。

2025年Web3安全形势概览

根据报告数据，2025年Web3领域共发生630起安全事件，总计造成约33.5亿美元的损失，较2024年同比增长37%。尽管事件数量较上年减少137起，但单次攻击的平均损失达532.2万美元，同比激增66.6%，反映出攻击者正集中瞄准高价值资产，市场趋势正向高风险、高回报模式演进。

供应链攻击推高年度损失

从攻击类型来看，供应链攻击成为2025年导致损失最大的风险来源。全年仅记录两起相关事件，累计损失高达14.5亿美元，占总损失近一半。其中，2月发生的Bybit事件占据绝大部分损失。

Bybit在2025年2月遭遇的安全事件造成约14亿美元损失，被认为是迄今规模最大的加密资产盗窃事件之一。攻击者未直接突破交易所系统，而是通过入侵第三方多签钱包服务商的开发者环境，在签名流程中植入恶意代码，从而绕过多重审批机制。

CertiK指出，此类事件表明攻击者正将资源集中于关键服务提供方和底层工具，而非单一协议本身，供应链安全已成为不可忽视的系统性风险。

钓鱼攻击高发，AI技术成为“放大器”

网络钓鱼仍是2025年最常见的安全威胁。全年共记录248起钓鱼攻击事件，造成约7.23亿美元损失，发生次数略高于代码漏洞攻击（240起）。

报告强调，这一数字可能被低估。大量针对个人用户的钓鱼和诈骗事件未被正式披露，尤其是损失金额较小或发生在链下的社会工程学攻击。

人工智能的普及正在显著降低钓鱼攻击的技术门槛。攻击者开始利用AI生成高度仿真的钓鱼网站、钱包弹窗和多语言诈骗信息，并结合链上数据和社交媒体内容进行“精准投放”。传统依赖语法错误或模板特征进行识别的防御方式正逐渐失效。

监管趋清晰，安全从“成本项”转为“基础设施”

在风险上升的同时，全球监管环境正呈现积极变化。美国围绕稳定币和数字资产透明度的立法进展，为行业释放出更明确的政策信号；欧盟MiCA框架、新加坡和中国香港的监管沙盒，也正在推动Web3走向更规范的发展阶段。

CertiK指出，随着机构和合规资金持续入场，安全能力正从“事后补救”转变为项目设计和运营中的基础设施要素。无论是对项目方还是个人用户而言，安全已不再是可选项，而是影响长期生存能力的关键变量。

报告最后展望称，未来一年，AI驱动的仿冒攻击、复杂化的供应链入侵以及针对个人用户的社会工程学攻击仍将持续演变。在这一背景下，将安全嵌入架构设计、开发流程和用户体验之中的项目，才有可能在新一轮Web3竞争中脱颖而出。

报告全文：https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a