2025年Web3区块链安全形势严峻，全年因黑客攻击、钓鱼诈骗与Rug Pull事件造成的总损失高达33.75亿美元，其中黑客攻击占比超94%，损失金额达31.87亿美元。尤为突出的是，中心化交易所（CEX）成为重灾区，9起攻击事件造成17.65亿美元损失，占全年总损失的52.3%；而DeFi项目虽损失金额次之（6.21亿美元），却以91次攻击成为被攻击频次最高的类别。Ethereum公链依旧是安全事件最集中、损失最严重的生态，170起事件共损失22.54亿美元，占比高达66.79%。整体来看，尽管钓鱼与Rug Pull损失大幅下降，但黑客攻击手段更趋复杂，对基础设施和供应链的威胁显著上升。

在攻击手法方面，合约漏洞利用仍是最高频的攻击方式，191起事件中有62起源于此，占比32.46%，其中业务逻辑漏洞造成的损失最为严重，达4.64亿美元。然而，年度最大单笔损失来自Bybit交易所的供应链攻击事件——黑客通过篡改Safe钱包前端，盗取14.4亿美元，占全年总损失的42.67%。此外，社会工程学和地址投毒等针对个人用户的攻击也频繁出现，两起个人用户损失分别高达9100万和5000万美元，凸显普通用户资产安全防护的薄弱环节。随着私钥泄露事件减少，攻击者正转向前端篡改、权限滥用及协议逻辑缺陷等更隐蔽路径。

报告还深入剖析了多起典型安全事件，如Cetus Protocol因左移运算溢出漏洞损失2.24亿美元，Balancer因价格计算精度误差遭攻击损失1.16亿美元，以及GMX可重入漏洞导致4200万美元被盗后的跨链洗钱路径。同时，反洗钱章节揭示了加密货币被用于跨国毒品洗钱的复杂网络，展示了Beosin Trace等工具在追踪、冻结非法资金中的关键作用。研究指出，未来AI驱动的钓鱼攻击、供应链风险及物理胁迫将成为新威胁焦点，呼吁构建涵盖技术、意识与协作的多层次防御体系。

以下为报告节选内容