Web3 攻击在 $4B 年达到顶峰：NFT、DeFi 和加密货币必须了解的内容 | 今日NFT新闻

Web3 hacks in 2025 reached an uncomfortable milestone. Almost $4 billion was lost across crypto, NFTs, and DeFi due to security failures, scams, and plain human error. The figure comes from the 2025 Yearly Security Report published by Hacken, and it paints a picture the industry can’t ignore.

This wasn’t a year defined by obscure bugs hiding in experimental code. Most of the damage came from weak access controls, stolen credentials, and social engineering. In other words, the same problems security teams have warned about for years—now playing out at a much larger scale.

If you hold NFTs, trade on centralized exchanges, or build in Web3, the lessons from 2025 matter more than ever.

一个 $4 十亿的Web3现实警示

Hacken的报告将2025年的总损失定为$4 十亿。这一数字包括交易所被攻破、钓鱼诈骗、钱包被盗、拉盘和协议漏洞。

其他公司，如CertiK和Chainalysis，估算的总损失较低——在$2.5B到$3.2B之间——具体取决于归因模型。然而，所有主要来源都一致认为，2025年攻击的规模和复杂性都显著增加。

令人关注的不仅是损失的规模，更是来自哪里。

早期的加密周期主要被智能合约错误所主导。而在2025年，局势发生了转变。操作失误和社会工程攻击造成的损害超过了代码漏洞。随着更多资金流入Web3，攻击者也跟随资金——集中在最容易入手的路径上。

对于NFT用户来说，这一变化彻底改变了风险画像。完美的合约无用，如果钱包授权或签名请求被滥用。

年度发展回顾

第一季度改变一切

今年开局不佳。到第一季度末，已经损失超过$2 十亿。这使得Q1成为有史以来Web3安全最糟糕的季度。

最大推动力是Bybit的漏洞。攻击者没有利用智能合约漏洞，而是破坏供应链，篡改前端基础设施。这提醒我们，区块链安全不仅仅止步于链上。

事件发生后，安全假设迅速转变。

节奏放缓，但威胁未减

全年剩余时间，损失逐渐减少。到第四季度，总损失约为$350 百万。这一下降反映了安全意识的提高和响应速度的加快。

但早期的损失无法弥补。攻击者调整策略，而非退缩。攻击次数减少，但影响更大。

资金流向何处

访问控制是最大败笔

2025年超过一半的损失来自访问控制问题。私钥被盗、多签钱包配置错误、内部凭证被滥用或泄露。

这些问题大多不需要尖端技术。大多数情况下，攻击者只是获得了不应拥有的访问权限。

Hacken数据显示，$2.12亿——占全部损失的53%——源于访问控制失败，成为2025年加密货币盗窃的主要原因。

一个关键洞察：多签钱包在签名者使用普通设备时变得脆弱。UXLINK漏洞导致被攻破的签名者铸造了数万亿代币，资产被洗劫一空并抛售。

这点令人不安，但也很有用。这些问题团队可以通过改进流程来解决。

钓鱼攻击变得更难识别

钓鱼和社会工程攻击造成的损失接近$1 十亿。钱包中毒、假支持信息和冒充诈骗不断演变。

AI让这些攻击更具迷惑性。虚假面试、深度伪造视频通话、看似真实的项目消息。

一名用户因地址中毒在一次交易中损失$50 百万——误将骗子的钱包当成熟悉的地址。另一名用户在一次长线社会工程攻击中损失$330 百万比特币。

NFT交易者尤其是Discord和Telegram社区活跃者，频繁成为目标。

智能合约漏洞未曾消失

合约漏洞仍造成损失，累计约$512 百万。DeFi协议受损最严重，基于以太坊的项目尤为集中。

典型漏洞包括：Balancer v2 ($128M 通过四舍五入错误)、GMX v1 ($42M 通过重入漏洞)、Yearn yETH ($9M 通过无限铸币)。

审计帮助降低了漏洞发生频率，但边界情况和集成风险依然存在。代码安全有所提升，但单靠此难以完全保障。

交易所与DeFi：不同的薄弱环节

集中式平台遭受最大打击

集中式交易所占据超过一半的损失。最典型的案例是Bybit，攻击者利用前端访问漏洞，而非链上逻辑。

托管风险集中。内部工具、第三方供应商和员工权限都扩大了攻击面。一旦出错，损失迅速扩大。

DeFi和NFT基础设施依然暴露

DeFi漏洞累计超过$500 百万，涉及数十起事件。流动性枯竭、桥梁失败和数学错误屡见不鲜。

以太坊是最主要的攻击链，原因在于大量活动集中在此。NFT平台常与DeFi协议共享钱包、权限或后端服务，风险因此溢出。

朝鲜的角色急剧上升

2025年最明显的模式之一是国家相关攻击者。与朝鲜有关的团体负责约52%的总损失，年内盗取超过$2 十亿。

实际上，10起访问控制攻击中有9起追溯到朝鲜集团，使用的手段包括假招聘官、带有恶意软件的GitHub仓库和深度伪造面试。

调查显示，这些活动大多与“Lazarus”集团和“TraderTraitor”集群有关。其策略主要是钓鱼、冒充和内部访问，而非技术漏洞。

与2024年相比，这些团体盗取的价值增长了50%以上。规模和协作程度尤为突出。

NFT持有者为何感受到冲击

NFT的金额虽不是最大，但收藏者成为重点目标。假铸链接、恶意授权、冒充项目管理员的Discord账号。

一旦钱包被攻破，NFT会立即转移。没有回滚机制。市场权限常常在用户忘记后仍然保持激活状态。

在NFT安全方面，钱包习惯与平台保障同样重要。

AI改变了安全格局

2025年，AI在攻防两端都发挥了作用。

攻击者利用自动化、深度伪造和自适应信息扩展诈骗规模。防御方则通过更好的监控、异常检测和快速事件响应应对。

像Immunefi这样的漏洞赏金平台帮助提前发现问题，显示激励机制仍然重要。

攻防差距没有缩小，而是在转移。

监管开始追赶

主要法域的安全预期趋严。

在美国，许可框架逐步要求渗透测试和硬件安全密钥管理。在欧洲，MiCA强调托管隔离和独立审计。

这些规则不能根除漏洞，但能提升基础线，难以为捷径辩解。

未来真正有用的措施

对用户：
硬件钱包降低风险。专用设备更佳。地址簿和交易预览避免常见错误。

对NFT和Web3团队：
一次审计远远不够。多层次审查能发现更多问题。多签和MPC设置减少单点故障。上线后持续监控。

对行业：
明确的标准建立信任。安全成熟度现在影响采纳和资金流。

高成本的一年，但也是明确的信号

2025年Web3 hacks造成的$4 十亿损失，反映了压力下的成长。攻击者完善了战术，防御者在公开中学习。透明揭示了弱点，也促使改进。

安全已成为信誉的象征。对于NFT、DeFi和整个加密行业，下一阶段更依赖纪律而非速度。

常见问题解答

以下是关于此话题的一些常见问题：

1. 2025年Web3黑客事件造成了多少损失？

Hacken报告总损失为$4.004亿。其他公司如CertiK和Chainalysis根据方法不同，估算在$2.5B–$3.2B之间。

2. 2025年最大的加密损失来源是什么？

主要来自访问控制失败(53%)，其次是钓鱼(24%)和智能合约漏洞(13%)。

3. 朝鲜真的负责大部分Web3黑客吗？

是的。与朝鲜有关的团体负责约52%的损失，常用钓鱼和社会工程手段。

4. 智能合约审计仍然有效吗？

审计有助于降低风险，但并非万无一失。2025年的许多漏洞发生在已审计或经过实战验证的协议中，因忽视了边界情况。

5. AI在2025年如何影响Web3安全？

AI既用于防御(监控)，也用于攻击(深度伪造、诈骗自动化)，带来了提示注入等新风险。

6. 用户可以做些什么来保护资产？

使用硬件钱包，避免签署未知交易，核实地址，养成良好的数字习惯，尤其在社交平台上。