文章作者、来源:CertiK
7月6日,全球最大的Web3安全公司CertiK发布《Hack3D:2026年上半年报告》。报告显示,2026年上半年,Web3生态共发生344起安全事件,累计损失约13.2亿美元。表面来看,这一数字较2025年同期下降46.8%;然而,如果剔除去年同期Bybit遭遇的14.5亿美元超大规模安全事件影响,今年上半年损失规模实际上同比增长约28%。
报告认为,市场容易将损失规模下降解读为安全环境改善,但从事件数量、单次攻击影响力以及攻击模式变化来看,Web3行业正在面临更加复杂且持续升级的安全挑战。
2025年2月发生的Bybit事件曾造成约14.5亿美元损失,占当年上半年全部损失的近六成,对整体统计结果产生了显著影响。
在剔除这一异常事件后,2025年上半年实际损失约为10.3亿美元,而2026年上半年损失达到13.2亿美元。即便考虑到约1.2亿美元被冻结或追回资金,调整后的实际损失仍高达约12亿美元。
此外,从时间跨度来看,攻击活动的基线正呈现逐季加剧的趋势。第二季度的安全事件数量从去年的145起大幅攀升至194起,同比增长达34%。第二季度单起事件的损失中位数也同比大幅增长60.6%,达到了约16.9万美元,这意味着即便是日常发生的中小型攻击,其单次破坏力也在显著放大。
与过去几年智能合约漏洞长期占据主要风险来源不同,2026年上半年,钱包被盗已经成为造成资金损失最大的攻击类型。
报告显示,上半年共发生33起钱包被盗事件,累计损失约4.5亿美元,占全部损失的三分之一以上。虽然事件数量并不多,但单次事件平均损失超过1,340万美元,远高于其他攻击类别。
其中,4月发生的Drift Protocol事件单独造成约2.9亿美元损失,成为上半年最严重的安全事件之一。
CertiK认为,这反映出攻击者正在将目标从单纯的智能合约漏洞转向密钥管理系统、多签钱包以及机构级基础设施,通过少量高价值攻击获取更大的经济回报。对于持有大量链上资产的协议和机构而言,私钥管理、多签架构以及运营层面的安全措施正成为最关键的防线。
相比往年,网络钓鱼攻击的数量正在下降,但其造成的破坏力却在显著提升。
2026年上半年共发生63起钓鱼攻击事件,较2025年同期下降超过50%。然而,同期损失金额仅下降约10.8%,仍达到约3.7亿美元。
CertiK Hack3D报告指出,这意味着攻击者策略正在发生变化:过去,钓鱼攻击更多依赖大规模撒网式欺诈;如今,攻击者正将资源集中于高净值个人、机构投资者以及掌握大量链上资产的目标,通过更复杂的社会工程学攻击提高单次攻击收益。
数据显示,仅4起社会工程学攻击就造成约3.1亿美元损失,占全部钓鱼攻击损失的近85%。其中,2026年1月发生的一起跨链社会工程学攻击造成约2.9亿美元损失,成为近年来最严重的钓鱼攻击事件之一。
另一项值得关注的趋势是,攻击者开始重新审视大量已经运行多年的智能合约。
2026年上半年,代码漏洞相关事件达到204起,累计损失约1.5亿美元,是所有攻击类型中数量最多的一类。特别是在第二季度,代码漏洞事件数量从第一季度的78起上升至126起,增长明显。
报告指出,越来越多攻击开始针对长期运行、部署多年后从未重新审计的老旧代码库。随着自动化安全研究工具和AI辅助分析能力不断提升,攻击者能够以更低成本发现历史代码中的潜在风险。
这一趋势意味着,项目上线并不意味着安全工作的结束。对于长期运营的协议而言,定期重新审计正在从可选项逐渐变为必要项。
从个案来看,上半年两起重大安全事件贡献了接近一半的行业损失。
4月发生的Kelp DAO RPC基础设施攻击造成约2.91亿美元损失;同月发生的Drift Protocol事件造成约2.85亿美元损失。两起事件合计损失约5.77亿美元,占上半年总损失的44%。
CertiK认为,虽然行业整体损失数据往往受到少数极端事件影响,但更值得关注的是高价值攻击事件正在变得越来越频繁。
与过去相比,攻击者不仅攻击更加精准,单次攻击造成的经济影响也在持续扩大。报告显示,2026年上半大额安全事件占比已明显高于历史同期水平。
除了攻击本身,报告还观察到攻击后的资金转移活动正在变得更加复杂。
在已完成洗钱的案例中,Tornado Cash仍然是最常见的匿名化工具,但跨链协议、多路径洗钱以及组合式资金转移方式正在快速增长。对于数亿美元规模的大型攻击事件而言,传统混币工具已经难以满足需求,跨链基础设施正逐渐成为新的洗钱通道。
与此同时,朝鲜背景黑客组织仍被认为是Web3生态中最具威胁性的攻击力量之一。
CertiK Hack3D报告指出,相关组织的攻击方式已经从传统漏洞利用扩展至供应链攻击、开发环境渗透、社会工程学攻击以及机构级基础设施攻击,其目标也越来越集中于交易平台、多签管理体系以及关键运营人员。
尽管2026年上半年Web3行业总损失较去年同期出现下降,但这一变化更多源于统计基数的影响,而非安全环境的改善。
从钱包被盗超过代码漏洞成为最大损失来源,到高价值钓鱼攻击持续增加,再到老旧代码和机构级基础设施成为新的重点攻击目标,攻击者正在不断调整策略并提升攻击效率。
对于整个行业而言,风险并未消失,而是在向更加复杂、更具针对性的方向演化。
报告全文:https://indd.adobe.com/view/c59cf37b-d6b7-4b66-ae15-38352140c671


