文章作者、来源:CertiK 7月6日,全球最大的Web3安全公司CertiK发布《Hack3D:2026年上半年报告》。报告显示,2026年上半年,Web3生态共发生344起安全事件,累计损失约13.2亿美元。表面来看,这一数字较2025年同期下降46.8%;然而,如果剔除去年同期Bybit遭遇的14.5亿美元超大规文章作者、来源:CertiK 7月6日,全球最大的Web3安全公司CertiK发布《Hack3D:2026年上半年报告》。报告显示,2026年上半年,Web3生态共发生344起安全事件,累计损失约13.2亿美元。表面来看,这一数字较2025年同期下降46.8%;然而,如果剔除去年同期Bybit遭遇的14.5亿美元超大规

CertiK Hack3D报告:2026上半年Web3损失超13亿美元,攻击正加速向高价值目标集中

2026/07/06 22:42
阅读时长 11 分钟
如需对本内容提供反馈或相关疑问,请通过邮箱 crypto.news@mexc.com 联系我们。

文章作者、来源:CertiK

7月6日,全球最大的Web3安全公司CertiK发布《Hack3D:2026年上半年报告》。报告显示,2026年上半年,Web3生态共发生344起安全事件,累计损失约13.2亿美元。表面来看,这一数字较2025年同期下降46.8%;然而,如果剔除去年同期Bybit遭遇的14.5亿美元超大规模安全事件影响,今年上半年损失规模实际上同比增长约28%。

报告认为,市场容易将损失规模下降解读为安全环境改善,但从事件数量、单次攻击影响力以及攻击模式变化来看,Web3行业正在面临更加复杂且持续升级的安全挑战。

安全损失下降背后:风险并未减少

2025年2月发生的Bybit事件曾造成约14.5亿美元损失,占当年上半年全部损失的近六成,对整体统计结果产生了显著影响。

在剔除这一异常事件后,2025年上半年实际损失约为10.3亿美元,而2026年上半年损失达到13.2亿美元。即便考虑到约1.2亿美元被冻结或追回资金,调整后的实际损失仍高达约12亿美元。

此外,从时间跨度来看,攻击活动的基线正呈现逐季加剧的趋势。第二季度的安全事件数量从去年的145起大幅攀升至194起,同比增长达34%。第二季度单起事件的损失中位数也同比大幅增长60.6%,达到了约16.9万美元,这意味着即便是日常发生的中小型攻击,其单次破坏力也在显著放大。

钱包安全成为最大的资金风险来源

与过去几年智能合约漏洞长期占据主要风险来源不同,2026年上半年,钱包被盗已经成为造成资金损失最大的攻击类型。

报告显示,上半年共发生33起钱包被盗事件,累计损失约4.5亿美元,占全部损失的三分之一以上。虽然事件数量并不多,但单次事件平均损失超过1,340万美元,远高于其他攻击类别。

其中,4月发生的Drift Protocol事件单独造成约2.9亿美元损失,成为上半年最严重的安全事件之一。

CertiK认为,这反映出攻击者正在将目标从单纯的智能合约漏洞转向密钥管理系统、多签钱包以及机构级基础设施,通过少量高价值攻击获取更大的经济回报。对于持有大量链上资产的协议和机构而言,私钥管理、多签架构以及运营层面的安全措施正成为最关键的防线。

钓鱼攻击减少,但变得更加致命

相比往年,网络钓鱼攻击的数量正在下降,但其造成的破坏力却在显著提升。

2026年上半年共发生63起钓鱼攻击事件,较2025年同期下降超过50%。然而,同期损失金额仅下降约10.8%,仍达到约3.7亿美元。

CertiK Hack3D报告指出,这意味着攻击者策略正在发生变化:过去,钓鱼攻击更多依赖大规模撒网式欺诈;如今,攻击者正将资源集中于高净值个人、机构投资者以及掌握大量链上资产的目标,通过更复杂的社会工程学攻击提高单次攻击收益。

数据显示,仅4起社会工程学攻击就造成约3.1亿美元损失,占全部钓鱼攻击损失的近85%。其中,2026年1月发生的一起跨链社会工程学攻击造成约2.9亿美元损失,成为近年来最严重的钓鱼攻击事件之一。

老旧代码正在成为新的攻击目标

另一项值得关注的趋势是,攻击者开始重新审视大量已经运行多年的智能合约。

2026年上半年,代码漏洞相关事件达到204起,累计损失约1.5亿美元,是所有攻击类型中数量最多的一类。特别是在第二季度,代码漏洞事件数量从第一季度的78起上升至126起,增长明显。

报告指出,越来越多攻击开始针对长期运行、部署多年后从未重新审计的老旧代码库。随着自动化安全研究工具和AI辅助分析能力不断提升,攻击者能够以更低成本发现历史代码中的潜在风险。

这一趋势意味着,项目上线并不意味着安全工作的结束。对于长期运营的协议而言,定期重新审计正在从可选项逐渐变为必要项。

超大规模攻击仍主导行业损失

从个案来看,上半年两起重大安全事件贡献了接近一半的行业损失。

4月发生的Kelp DAO RPC基础设施攻击造成约2.91亿美元损失;同月发生的Drift Protocol事件造成约2.85亿美元损失。两起事件合计损失约5.77亿美元,占上半年总损失的44%。

CertiK认为,虽然行业整体损失数据往往受到少数极端事件影响,但更值得关注的是高价值攻击事件正在变得越来越频繁。

与过去相比,攻击者不仅攻击更加精准,单次攻击造成的经济影响也在持续扩大。报告显示,2026年上半大额安全事件占比已明显高于历史同期水平。

洗钱网络持续升级,国家级攻击威胁仍然存在

除了攻击本身,报告还观察到攻击后的资金转移活动正在变得更加复杂。

在已完成洗钱的案例中,Tornado Cash仍然是最常见的匿名化工具,但跨链协议、多路径洗钱以及组合式资金转移方式正在快速增长。对于数亿美元规模的大型攻击事件而言,传统混币工具已经难以满足需求,跨链基础设施正逐渐成为新的洗钱通道。

与此同时,朝鲜背景黑客组织仍被认为是Web3生态中最具威胁性的攻击力量之一。

CertiK Hack3D报告指出,相关组织的攻击方式已经从传统漏洞利用扩展至供应链攻击、开发环境渗透、社会工程学攻击以及机构级基础设施攻击,其目标也越来越集中于交易平台、多签管理体系以及关键运营人员。

结语

尽管2026年上半年Web3行业总损失较去年同期出现下降,但这一变化更多源于统计基数的影响,而非安全环境的改善。

从钱包被盗超过代码漏洞成为最大损失来源,到高价值钓鱼攻击持续增加,再到老旧代码和机构级基础设施成为新的重点攻击目标,攻击者正在不断调整策略并提升攻击效率。

对于整个行业而言,风险并未消失,而是在向更加复杂、更具针对性的方向演化。

报告全文:https://indd.adobe.com/view/c59cf37b-d6b7-4b66-ae15-38352140c671

世界杯预测,一单串多场,搏200倍收益!

世界杯预测,一单串多场,搏200倍收益!世界杯预测,一单串多场,搏200倍收益!

MEXC App 6.60.0 全新升级,巴西/法国/阿根廷等最多20场组合,一键轻松下注!

免责声明: 本网站转载的文章均来源于公开平台,仅供参考。这些文章不代表 MEXC 的观点或意见。所有版权归原作者所有。如果您认为任何转载文章侵犯了第三方权利,请联系 crypto.news@mexc.com 以便将其删除。MEXC 不对转载文章的及时性、准确性或完整性作出任何陈述或保证,并且不对基于此类内容所采取的任何行动或决定承担责任。转载材料仅供参考,不构成任何商业、金融、法律和/或税务决策的建议、认可或依据。

$5,000,000 SPCX 合约仓位免费送!

$5,000,000 SPCX 合约仓位免费送!$5,000,000 SPCX 合约仓位免费送!

0 手续费| 100x杠杆 | 每日奖励,更有7000+ 股票/ETF任你选择!