Skynet Hack3D 報告強調 2025 年 Web3 安全

• 網路攻擊者隨著產業演進,不斷精進技術性攻擊手法與社交工程技巧。
• 根據產業數據,2025年總損失達到33.5億美元,相較於2024年的24.5億美元增加了37%。

Web3生態系統在2025年迎來了新的動能,受惠於改善的總體經濟環境、更強勁的投資者信心,以及美國明顯更為支持的政治氛圍。新一屆美國政府迅速將數位資產定位為戰略創新領域,而非監管異常現象,釋放出區塊鏈技術將受到鼓勵而非限制的早期訊號。這項轉變恢復了建設者、機構和創投資本的信心,協助去中心化應用程式更深入地拓展至支付、遊戲、代幣化資產、身份解決方案,以及實際金融應用場景。

然而,隨著整個生態系統活動加速,威脅形勢也同步升級。網路攻擊者隨著產業演進,不斷精進技術性攻擊手法與社交工程技巧。在創新激增的同時,2025年也成為一個嚴峻的提醒:在Web3領域中,成長與風險持續並行發展。

根據產業數據,2025年總損失達到33.5億美元,相較於2024年的24.5億美元增加了37%。乍看之下,這些數字顯示安全狀況急劇惡化。然而,仔細觀察後呈現出更為細緻的情況。單一事件Bybit攻擊事件就佔了全年損失的約14.5億美元。若排除這個異常值,整體被竊資金實際上呈現年度下降,凸顯出攻擊者行為的關鍵性轉變。

威脅行為者不再仰賴大量中型規模的攻擊,而是逐漸將資源集中於較少但破壞力更強的行動。Bybit事件證明了資金充足、高度協調的攻擊者日益增加,他們能夠執行複雜且長期的攻擊。這個趨勢顯示,儘管許多協議的基本安全措施正在改善,但系統性風險依然存在,特別是在基礎設施和供應鏈層面。

在攻擊向量分類中,網路釣魚成為2025年最普遍的威脅。排除Bybit供應鏈入侵事件後,網路釣魚在248起事件中造成了7.229億美元的損失,在頻率上超越了程式碼漏洞和基礎設施攻擊。程式碼相關攻擊緊隨其後,在240起事件中造成5.546億美元的損失,儘管其中近半數資金最終遭凍結或歸還,突顯出改善的應對協調能力和鏈上干預能力。

人工智慧在塑造這個不斷演變的威脅環境中扮演了決定性角色。在防禦方面,開發者越來越依賴AI驅動的工具來生成測試案例、識別低效率問題、強化形式化驗證,以及簡化審計工作流程。相反地,攻擊者也大規模採用相同技術。AI生成的釣魚介面幾乎與合法的DApps和錢包提示無法區分,而自動化的多語言活動則將觸角延伸到先前相對封閉的社群。

威脅行為者也利用AI進行偵察,爬取鏈上數據和私人聊天頻道以識別高價值目標。冒充攻擊變得更具說服力,假冒創辦人帳號、合成語音和深度偽造影片侵蝕了傳統的信任訊號。或許最令人擔憂的是攻擊複製的速度,因為AI工具使攻擊者能夠在數天甚至數小時內複製並部署成功的攻擊模式。

監管明確性在2025年顯著改善,有助於穩定更廣泛的生態系統。在美國,GENIUS法案建立了穩定幣監管和數位資產透明度的早期框架,同時傳達出對創新更為合作的立場。在全球範圍內,歐盟朝向全面實施MiCA邁進,提高了資訊揭露和消費者保護的標準。同時,新加坡和香港等司法管轄區擴大了數位資產沙盒,巴西和哥倫比亞等國家則朝向受監管的商品代幣化框架發展。

這些發展促成了更結構化的治理,並影響了專案如何處理合規性、架構和營運安全。隨著監管法規成熟,安全性日益成為市場准入的先決條件,而非可選功能。

該年度最重大的事件之一發生在二月,當時Bybit遭遇史上最大規模的加密貨幣竊盜案。這起攻擊歸因於Lazarus Group,並未直接攻擊Bybit的內部系統。攻擊者實際上入侵了第三方多重簽名錢包提供商Safe{Wallet}的一台開發者電腦。惡意程式碼被植入錢包介面,暗中修改交易細節,導致授權簽署者在不知情的情況下批准了詐欺性轉帳。這起事件揭露了與受信任工具和供應鏈依賴性相關的日益增長風險。

除了大規模入侵事件外,個別用戶面臨越來越多的風險。AI驅動的釣魚攻擊、深度偽造冒充,以及針對性社交工程攻擊在全年激增。許多損失未被通報,特別是與鏈下詐騙相關的損失,例如殺豬盤和投資詐欺,顯示實際用戶損失可能遠高於記錄數字。

隨著2026年的接近,Web3安全的發展軌跡正變得更加清晰。預期攻擊者將進一步精進AI驅動的冒充和釣魚活動,而供應鏈攻擊可能變得更加複雜。同時,更強有力的監管、即時監控和AI輔助防禦為減少可預防損失提供了一條路徑。

CertiK的2025年

2025年對CertiK而言是具有里程碑意義的一年,以擴展的研究、更深入的生態系統整合,以及在Web3安全領域的持續領導地位為特徵。以下是塑造這一年的部分重要成就:

• 將Token Scan與ChainGPT和Binance Wallet整合,將即時代幣風險分析直接延伸至廣泛使用的Web3工具中。
• 發布Skynet穩定幣聚焦報告:2025上半年,提供穩定幣格局、關鍵漏洞,以及如何使用Skynet安全評分來評估穩定幣風險的深入審視。
• 發布2025 Skynet RWA安全報告,為實際資產(RWA)協議提供結構化的盡職調查標準和全面的風險審查框架。
• 推出2025 Skynet韓國Web3安全與生態系統報告,深入分析韓國Web3市場動態,並介紹該地區的領先平台。
• 發布2025 Skynet數位資產庫(DAT)報告,引入Skynet DAT安全與合規框架,以評估超越表面指標的營運完整性。
• 發布Skynet美國數位資產政策報告,總結GENIUS法案和CLARITY法案在美國的法律基礎、市場結構影響和營運要求。
• 對Canton Network上的USDCx鑄造和銷毀流程進行全面安全評估,包括鏈上Daml智能合約審計和鏈下基礎設施的滲透測試。
• 推出CertiK SkyNode,一項旨在改善多個公共區塊鏈生態系統的網路安全性、可靠性和效能的驗證節點服務。
• 與螞蟻集團的螞蟻鏈(螞蟻密集計算)聯合發布研究,聚焦於Asterinas作業系統核心元件的形式化驗證。
• 推出LiDO框架,由CertiK聯合創辦人邵中教授發表,解決拜占庭容錯(BFT)共識機制中的關鍵安全挑戰。
• 獲得以太坊基金會的兩項資助,鞏固CertiK在zkEVM形式化驗證研究中的領導地位。
• 推出Skynet排行榜,一個專注於安全性的排名平台,旨在評估和比較加密貨幣和Web3專案的安全性。
• 發布生態系統專屬展示排行榜以支援戰略性Layer 1成長,包括專門針對BNB Chain和SUI的排行榜。

在這個快速演變的環境中,長期成功將取決於將安全性整合到Web3開發的每一層。作為最大的Web3安全服務提供商,CertiK持續在保護生態系統中扮演核心角色,支援數千個專案,並在區塊鏈技術邁向主流採用的過程中強化信任。