GoPlus年度安全报告：1200起严重安全事件造成超35亿美元总损失，攻击者策略呈现「精准猎杀」、「广撒网」并行的趋势

Web3安全生态在2025年呈现出复杂且严峻的态势。全年1200多起严重安全事件导致超过35亿美元损失，这一数字不仅体现了损失规模的扩大，更反映出攻击手法和策略的系统性演变。

从攻击类型看，私钥窃取、钓鱼攻击和欺诈代币（Rug Token）构成最主要的威胁。私钥问题尤其值得警惕，特别是在中心化服务平台（CeFi）和去中心化协议的管理层面。Bybit、Cetus和Balancer等顶级协议遭受重大攻击，多次源于热钱包私钥或管理员密钥泄露，这说明关键基础设施的身份与访问管理存在普遍薄弱环节。

攻击策略呈现出明显的两极分化：一方面是针对高价值目标的“精准猎杀”，全年12起损失超过3000万美元的事件中有7起发生在CeFi领域，攻击者显然倾向于追求高回报、有组织的大规模突破；另一方面是“广撒网”式的小额欺诈，通过自动化工具、伪造代币网站和社交工程手段，以极低成本广泛收割普通用户。这种并行策略显示出攻击者正在根据不同目标调整资源投入，形成层次化的犯罪经济。

从安全事件的时间分布来看，智能合约漏洞依然是造成巨额损失的主因，但钓鱼攻击的危害性在快速上升——它单次损失金额可能不大，但影响用户数量庞大，动辄数千人受害，具有较强的长尾效应。值得注意的是，针对新技术的攻击也在出现，例如针对EIP-7702智能账户的钓鱼攻击，说明攻击者正持续跟踪技术迭代并快速利用其初期的不成熟。

从行业响应来看，安全团队如GoPlus、CertiK等正在构建更全面的防护体系，从资产发行、链上监控到事后追溯形成闭环，并尝试通过开源合约、安全模块集成等方式降低风险。但目前的挑战在于，安全能力尚未形成均匀覆盖，很多项目尤其是新兴协议和CeFi服务在密钥管理、权限设计和用户教育方面仍然存在明显短板。

总体而言，当前Web3安全不再仅仅是技术漏洞问题，更是涉及机制设计、操作习惯和生态协作的系统工程。攻击者已形成成熟的产业链，而防御方仍需在响应速度、覆盖深度和用户意识提升上进一步加强。未来的安全建设必须同时关注“鲸鱼”级别的机构防护和“小鱼”级别的用户防诈，从单点防护向体系化防御演进。