CertiK年度安全报告：2025年Web3领域损失激增37%，供应链攻击与钓鱼威胁成焦点

12月23日，全球领先的Web3安全公司CertiK发布了《2025 Skynet Hack3D Web3安全报告》，全面回顾了过去一年中Web3领域的主要安全事件与风险趋势。报告显示，尽管市场环境回暖且监管预期更加清晰，Web3行业的快速发展并未降低安全风险，系统性安全挑战依然严峻。

根据报告数据，2025年Web3领域共发生630起安全事件，总计造成约33.5亿美元的损失，较2024年同比增长37%。尽管事件数量较上年减少了137起，但单次攻击的平均损失达到532.2万美元，同比激增66.6%，显示出攻击者正将目标集中在高价值资产上。

供应链攻击推高年度损失

从攻击类型来看，供应链攻击成为2025年导致损失最大的风险来源。尽管全年仅记录到两起相关事件，但累计损失高达14.5亿美元，占全年总损失的近一半。其中，2月份发生的Bybit事件占据了绝大部分损失。

报告显示，Bybit在2025年2月遭遇的安全事件造成了约14亿美元的损失，被认为是迄今为止规模最大的加密资产盗窃事件之一。攻击者并未直接突破交易所系统，而是通过入侵第三方多签钱包服务商的开发者环境，在签名流程中植入恶意代码，从而绕过多重审批机制。

CertiK在报告中指出，此类事件表明攻击者正将资源集中投向关键服务提供方和底层工具，而非单一协议本身，供应链安全已成为不可忽视的系统性风险。

钓鱼攻击高发，AI技术成为“放大器”

在网络攻击频次方面，网络钓鱼仍是2025年最常见的安全威胁。报告显示，全年共记录248起钓鱼攻击事件，造成约7.23亿美元的损失，发生次数略高于代码漏洞攻击（240起）。

值得注意的是，CertiK认为这一数字可能被低估。大量针对个人用户的钓鱼和诈骗事件未被正式披露，尤其是损失金额较小或发生在链下的社会工程学攻击。

报告强调，人工智能的普及正在显著降低钓鱼攻击的技术门槛。攻击者开始利用AI生成高度仿真的钓鱼网站、钱包弹窗和多语言诈骗信息，并结合链上数据和社交媒体内容进行“精准投放”。传统依赖语法错误或模板特征进行识别的防御方式正逐渐失效。

监管趋清晰，安全从“成本项”转为“基础设施”

在风险上升的同时，报告也注意到全球监管环境正在发生积极变化。美国围绕稳定币和数字资产透明度的立法进展，为行业释放出更明确的政策信号；欧盟MiCA框架、新加坡和中国香港的监管沙盒，也正在推动Web3走向更规范的发展阶段。

CertiK在报告中指出，随着机构和合规资金持续入场，安全能力正从“事后补救”转变为项目设计和运营中的基础设施要素。无论是对项目方还是个人用户而言，安全已不再是可选项，而是影响长期生存能力的关键变量。

报告最后展望称，未来一年，AI驱动的仿冒攻击、复杂化的供应链入侵以及针对个人用户的社会工程学攻击仍将持续演变。在这一背景下，将安全嵌入架构设计、开发流程和用户体验之中的项目，才有可能在新一轮Web3竞争中脱颖而出。

报告全文：https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a