2025年区块链安全与反洗钱年度报告核心观点 - 2025年区块链行业安全与合规挑战复杂，安全事件数量下降但损失金额大幅上升，反洗钱监管呈现全球化、体系化推进态势 [1] - 全年发生200起安全事件，造成约29.35亿美元损失，损失金额较2024年上升约46% [1][12] - 攻击体系专业化、犯罪链路隐蔽化与监管执行强势化成为三大趋势，安全能力、合规体系与链上监控响应能力是行业可持续发展的核心支撑 [3] 区块链安全态势 安全事件概览 - **总体数据**：2025年共记录200起安全事件，总损失约29.35亿美元，相比2024年（410起，损失约20.13亿美元），事件数量下降但损失金额上升约46% [12] - **生态分布**：以太坊是受攻击最严重的生态，损失约2.54亿美元；BSC其次，损失约2193万美元；Solana位列第三，损失约1745万美元 [18] - **项目类型分布**：DeFi项目是最常遭攻击的领域，共发生126起安全事件，占全年总数的63%，损失约6.49亿美元；交易平台事件仅12起，但造成高达18.09亿美元损失 [22] - **攻击原因**：合约漏洞是主要诱因，共61起；X账号被黑紧随其后，共48起 [23] 年度重大安全事件 - **Bybit事件**：2月21日，Bybit平台因Safe多签钱包基础设施被入侵，被盗超过14.6亿美元，成为年度最严重安全事件 [1][28] - **Cetus Protocol事件**：5月22日，Sui生态Cetus Protocol遭攻击，初步损失超2.3亿美元，后通过验证者冻结机制追回约1.62亿美元 [29] - **Balancer V2事件**：11月3日，Balancer V2可组合稳定池存在四舍五入方向错误漏洞，在多个链上共造成1.211亿美元损失，最终约4570万美元资金被保护或追回 [30] - **其他重大事件**：Nobitex交易所遭攻击并销毁约1亿美元资产 [31]；Phemex交易所热钱包被攻击损失约7000万美元 [33]；UPCX平台因管理员权限被盗损失约7000万美元 [34]；BtcTurk交易所损失约5400万美元 [35]；Infini银行因操作疏忽损失近5000万美元 [36]；CoinDCX内部运营账户被盗约4420万美元 [37]；GMX遭重入攻击损失超4200万美元，后攻击者归还资金并获得500万美元赏金 [38] 欺诈与攻击手法演变 - **手法升级**：欺诈手法持续升级，呈现复合化、隐蔽化特征，从简单仿站升级为结合系统命令、钱包权限的复合手法 [2] - **钓鱼攻击**：Clickfix钓鱼攻击通过高度拟真的网页交互诱导用户执行恶意命令，从而下载具备信息窃取能力的恶意程序 [42][46][47] - **权限篡改攻击**：出现针对Solana钱包Owner权限的篡改攻击，受害者账户所有权被替换，导致资产完全失控，损失超300万美元 [48][49][50] - **协议特性滥用**：攻击者利用EIP-7702等新协议特性进行钓鱼，例如通过授权滥用导致用户损失146,551美元 [51][52] - **社会工程攻击**：通过招聘面试、假冒安全专家、售卖假硬件钱包等方式诱导受害者配合 [2] - **供应链与开源投毒**：供应链与开源生态投毒、恶意浏览器扩展滥用等攻击造成广泛影响 [2] - **AI技术应用**：AI技术降低了攻击门槛，深度伪造、智能生成诈骗内容等手段提高了欺骗性 [2] 反洗钱与监管态势 全球监管动态 - **监管趋势**：全球监管从“试探式监管”迈向“清晰规则落地”，多国加速推进AML/CFT框架落地，并开展跨境执法行动 [2] - **地区政策**：亚洲、欧洲、北美洲等地区纷纷出台针对性监管政策，涵盖稳定币监管、交易平台许可、税务透明等内容 [2] - **执法成效**：资金冻结与归还成效显著，Tether和Circle分别冻结大量涉案地址资产，全年有18起事件成功追回或冻结部分资金，占总损失的13.2% [2] 网络犯罪生态 - **犯罪组织**：网络犯罪生态呈现规模化特征，除朝鲜黑客组织外，钓鱼Drainer、Huione Group等犯罪组织活跃 [3] - **洗钱网络**：犯罪组织通过混币工具、隐私协议构建复杂洗钱网络 [3] - **勒索软件模式**：勒索软件与信息窃取恶意软件通过MaaS/RaaS模式扩散，LockBit、LummaC2等成为典型代表 [3] - **隐私工具监管**：隐私工具与混币服务的监管边界逐渐清晰，监管机构区分技术属性与犯罪用途，对主动协助洗钱的运营方加大执法力度 [3]

2025年Web3区块链安全态势综述 - 2025年Web3领域因黑客攻击、钓鱼诈骗与Rug Pull事件造成的总损失高达33.75亿美元 [1][13] - 黑客攻击是主要损失来源，造成31.87亿美元损失，占全年总损失的94%以上 [1] - 钓鱼诈骗与Rug Pull事件的总损失金额较2024年大幅下降，降幅分别为69.15%和约92.21% [15] 被攻击项目类型分析 - 中心化交易所是损失金额最高的项目类型，9起攻击事件造成约17.65亿美元损失，占全年总损失的52.3% [1][17] - DeFi项目是被攻击频次最高的类别，共遭受91次攻击，造成约6.21亿美元损失 [1] - 被攻击项目类型还包括公链、跨链桥、NFT、Memecoin、基础设施及MEV机器人等 [17] 各公链安全损失情况 - Ethereum公链是安全事件最集中、损失最严重的生态，170起事件共造成22.54亿美元损失，占全年总损失的66.79% [1][17][29] - BNB Chain安全事件次数排名第二，64次事件造成约8982万美元损失 [31] - Base链安全事件次数排名第三，共20次事件；Solana链发生19次安全事件 [31] 攻击手法分析 - 合约漏洞利用是出现频次最高的攻击方式，在191起攻击事件中有62起源于此，占比32.46% [2][17][32] - 供应链攻击造成年度最大单笔损失，Bybit交易所因Safe钱包前端被篡改损失14.4亿美元，占全年总损失的42.67% [2][17] - 业务逻辑漏洞是造成损失最多的合约漏洞类型，共计损失4.64亿美元 [2][35] - 针对个人用户的社会工程学和地址投毒攻击频繁出现，两起事件分别造成9100万和5000万美元损失 [2] 2025年十大攻击事件 - 排名第一：Bybit交易所因供应链攻击损失14.40亿美元 [18] - 排名第二：Cetus Protocol因合约漏洞损失2.24亿美元 [18] - 排名第三：Balancer协议因价格计算精度误差损失1.16亿美元 [18] - 其他重大事件包括：Stream Finance损失9300万美元 [19]、个人用户因社会工程学损失9100万美元 [20]、Nobitex交易所损失9000万美元 [21]、Phemex交易所因私钥泄露损失7000万美元 [22]、UPCX因访问控制漏洞损失7000万美元 [23]、个人用户因钓鱼攻击损失5000万美元 [24]、Infini因权限管理漏洞损失4950万美元 [24] 典型安全事件技术分析 - Cetus Protocol攻击源于`get_delta_a`函数中的`checked shl`运算实现错误，导致左移溢出未被正确检测，攻击者借此从流动性池中兑换出大量资产 [39][40][42] - Balancer攻击源于其使用的Curve StableSwap不变式公式在缩放操作时引入精度误差，`mulDown`函数执行向下取整的整数除法，误差传递导致获利机会 [43][45][47] 反洗钱与非法资金追踪 - 美国制裁的贩毒集团头目Ryan James Wedding利用加密货币洗钱，其已知钱包地址共接收超过2.63亿美元的USDT [48] - 通过链上追踪工具分析，Wedding持有的3个地址共经手266,761,784.24 USDT，资产通过高频交易和多级转移清洗后充值到Binance、OKX等交易所 [51] - 案例分析展示了非法资金通过复杂网络（包括赌场平台地址）进行层层转移和清洗的路径 [52][56][58] 安全趋势与未来威胁 - 攻击手段更趋复杂，对基础设施和供应链的威胁显著上升 [1] - 随着私钥泄露事件减少，攻击者正转向前端篡改、权限滥用及协议逻辑缺陷等更隐蔽路径 [2] - 未来AI驱动的钓鱼攻击、供应链风险及物理胁迫将成为新的威胁焦点 [2]

公司荣誉与行业认可 - 公司入选《Fast Company》的“2025年科技领域下一件大事”榜单，突显其在保护公共区块链免受新兴网络威胁方面的创新 [1] - 公司还被《TIME》和Statista评为“2025年世界最佳公司”之一，被《Newsweek》和Statista评为“美国最佳网络安全公司”之一，并入选《Fast Company》的“2024年改变世界创意”榜单 [4] 技术创新与产品亮点 - 公司在实时区块链威胁预防领域取得突破性工作，该首创能力已在Cardano主网等平台激活 [2] - 该创新标志着从被动威胁检测到主动链内预防的根本性转变，能在网络攻击发生前保护用户、数字资产和基础设施 [2] - 公司的区块链解决方案为去中心化未来提供企业级、合规就绪的安全保障，旨在为区块链生态系统带来实时威胁检测和预防 [2] - 公司的解决方案将大胆思维与深厚技术承诺相结合，使企业级保护适应去中心化生态系统 [2] 行业地位与市场影响 - 公司是网络安全解决方案领域的先驱和全球领导者 [1] - 公司利用人工智能驱动的网络安全解决方案，为全球超过10万家组织提供保护 [6] - 通过其Infinity平台和开放花园生态系统，公司以预防为先的方法提供行业领先的安全效能，同时降低风险 [6] - 采用以SASE为核心的混合网状网络架构，Infinity平台统一了本地、云和工作空间环境的管理，为企业和服务提供商提供灵活性、简单性和可扩展性 [6]

公司定位与核心业务 - 公司是一家专注于“全方位数据安全”的数据安全与隐私软件公司，在区块链安全和可信账本验证领域重申其领导地位 [1] - 公司拥有近十年的数据保护和数字账本基础设施前沿经验，提供与可靠去中心化验证相结合的强大安全实践 [1] - 公司提供软件和服务，确保数据在设备与数据库、静态与传输、本地、网络或云环境中的安全，拥有超过100个国家的10,000多家客户 [6] 区块链验证与运营专长 - 公司作为某主要分布式账本网络的独特节点列表生态中的可靠运营商，拥有良好的业绩记录，通过维护高可用性验证节点为网络稳定和信任做出贡献 [2] - 公司于2018年12月成功升级其验证器基础设施以符合更新的共识协议，实现了无缝自我升级，突显其运营韧性 [2] - 公司的验证器基础设施以安全为首要原则构建，包含强化端点、隔离密钥管理、实时监控和自动故障转移机制，以确保高可用性和共识可靠性 [3] - 公司的投票模式始终与账本共识结果保持一致，反映了其作为验证器的稳定性和可预测性，多年来已处理数百万个账本且无计划外停机 [3] - 公司保持技术中立，不参与代币奖励或经济激励，从而确保在交易排序和提案验证中的公正性，以维持社区信任 [3] 产品与服务扩展 - 除了验证服务，公司还开发并部署了用于数据分类、合规、发现和可辩护处置的企业级工具，将强大的安全控制扩展到账本环境 [2] - 公司正在扩展其能力以支持多账本架构，将其高保障实践带入多样化的区块链生态系统 [4] - 公司正在开发分析仪表板，以提供验证器性能的透明度，包括分歧事件、延迟和故障诊断等指标 [4] - 通过将其数据分类、隐私和合规解决方案与账本验证相集成，公司提供了一个全面的安全框架，在共识、使用、静态和传输的每个阶段保护账本数据 [4] 管理层观点与行业展望 - 公司首席执行官表示，其在数据安全和账本验证方面的深厚专业知识使其能够在区块链生态系统中提供卓越的可靠性和信任 [5] - 随着分布式账本获得关注，对具有严格运营标准的验证器的需求不断增长，公司作为独特节点列表提供商的良好业绩记录使其能够满足这些期望并成为坚定的行业领导者 [5]