纽约, July 08, 2026 (GLOBE NEWSWIRE) -- 7月6日,全球最大的Web3安全公司CertiK发布《Hack3D:2026年上半年报告》。报告显示,2026年上半年,Web3生态共发生344起安全事件,累计损失约13.2亿美元。表面来看,这一数字较2025年同期下降46.8%;然而,如果剔除去年同期Bybit遭遇的14.5亿美元超大规模安全事件影响,今年上半年损失规模实际上同比增长约28%。
报告认为,市场容易将损失规模下降解读为安全环境改善,但从事件数量、单次攻击影响力以及攻击模式变化来看,Web3行业正在面临更加复杂且持续升级的安全挑战。
安全损失下降背后:风险并未减少
2025年2月发生的Bybit事件曾造成约14.5亿美元损失,占当年上半年全部损失的近六成,对整体统计结果产生了显著影响。在剔除这一异常事件后,2025年上半年实际损失约为10.3亿美元,而2026年上半年损失达到13.2亿美元。即便考虑到约1.2亿美元被冻结或追回资金,调整后的实际损失仍高达约12亿美元。
此外,从时间跨度来看,攻击活动的基线正呈现逐季加剧的趋势。第二季度的安全事件数量从去年的145起大幅攀升至194起,同比增长达34%。第二季度单起事件的损失中位数也同比大幅增长60.6%,达到了约16.9万美元,这意味着即便是日常发生的中小型攻击,其单次破坏力也在显著放大。
钱包安全成为最大的资金风险来源
与过去几年智能合约漏洞长期占据主要风险来源不同,2026年上半年,钱包被盗已经成为造成资金损失最大的攻击类型。报告显示,上半年共发生33起钱包被盗事件,累计损失约4.5亿美元,占全部损失的三分之一以上。虽然事件数量并不多,但单次事件平均损失超过1,340万美元,远高于其他攻击类别。其中,4月发生的Drift Protocol事件单独造成约2.9亿美元损失,成为上半年最严重的安全事件之一。CertiK认为,这反映出攻击者正在将目标从单纯的智能合约漏洞转向密钥管理系统、多签钱包以及机构级基础设施,通过少量高价值攻击获取更大的经济回报。对于持有大量链上资产的协议和机构而言,私钥管理、多签架构以及运营层面的安全措施正成为最关键的防线。
钓鱼攻击减少,但变得更加致命
相比往年,网络钓鱼攻击的数量正在下降,但其造成的破坏力却在显著提升。2026年上半年共发生63起钓鱼攻击事件,较2025年同期下降超过50%。然而,同期损失金额仅下降约10.8%,仍达到约3.7亿美元。
CertiK Hack3D报告指出,这意味着攻击者策略正在发生变化:过去,钓鱼攻击更多依赖大规模撒网式欺诈;如今,攻击者正将资源集中于高净值个人、机构投资者以及掌握大量链上资产的目标,通过更复杂的社会工程学攻击提高单次攻击收益。数据显示,仅4起社会工程学攻击就造成约3.1亿美元损失,占全部钓鱼攻击损失的近85%。其中,2026年1月发生的一起跨链社会工程学攻击造成约2.9亿美元损失,成为近年来最严重的钓鱼攻击事件之一。
老旧代码正在成为新的攻击目标
另一项值得关注的趋势是,攻击者开始重新审视大量已经运行多年的智能合约。2026年上半年,代码漏洞相关事件达到204起,累计损失约1.5亿美元,是所有攻击类型中数量最多的一类。特别是在第二季度,代码漏洞事件数量从第一季度的78起上升至126起,增长明显。
报告指出,越来越多攻击开始针对长期运行、部署多年后从未重新审计的老旧代码库。随着自动化安全研究工具和AI辅助分析能力不断提升,攻击者能够以更低成本发现历史代码中的潜在风险。这一趋势意味着,项目上线并不意味着安全工作的结束。对于长期运营的协议而言,定期重新审计正在从可选项逐渐变为必要项。
超大规模攻击仍主导行业损失
从个案来看,上半年两起重大安全事件贡献了接近一半的行业损失。4月发生的Kelp DAO RPC基础设施攻击造成约2.91亿美元损失;同月发生的Drift Protocol事件造成约2.85亿美元损失。两起事件合计损失约5.77亿美元,占上半年总损失的44%。CertiK认为,虽然行业整体损失数据往往受到少数极端事件影响,但更值得关注的是高价值攻击事件正在变得越来越频繁。与过去相比,攻击者不仅攻击更加精准,单次攻击造成的经济影响也在持续扩大。报告显示,2026年上半大额安全事件占比已明显高于历史同期水平。
洗钱网络持续升级,国家级攻击威胁仍然存在
除了攻击本身,报告还观察到攻击后的资金转移活动正在变得更加复杂。在已完成洗钱的案例中,Tornado Cash仍然是最常见的匿名化工具,但跨链协议、多路径洗钱以及组合式资金转移方式正在快速增长。对于数亿美元规模的大型攻击事件而言,传统混币工具已经难以满足需求,跨链基础设施正逐渐成为新的洗钱通道。
与此同时,朝鲜背景黑客组织仍被认为是Web3生态中最具威胁性的攻击力量之一。CertiK Hack3D报告指出,相关组织的攻击方式已经从传统漏洞利用扩展至供应链攻击、开发环境渗透、社会工程学攻击以及机构级基础设施攻击,其目标也越来越集中于交易平台、多签管理体系以及关键运营人员。
报告全文:https://indd.adobe.com/view/c59cf37b-d6b7-4b66-ae15-38352140c671
Media contact
Elisa Yiting Xu
yiting.xu@certik.com
-
安联世合任命Carsten Staat为亚太、中东及非洲地区董事总经理新加坡2026年7月9日 美通社 -- 作为B2B2C保险与救援领域的全球领军企业,安联世合(Allianz Partners)今天宣布任命Carsten Staat为亚太、中东及非洲地区董事总经理,该任2026-07-09
-
CertiK Hack3D报告:2026上半年Web3损失超13亿美元,攻击正加速向高价值目标集中纽约, July 08, 2026 (GLOBE NEWSWIRE) -- 7月6日,全球最大的Web3安全公司CertiK发布《Hack3D:2026年上半年报告》。报告显示,2026年上半年,Web3生态共发生344起安全2026-07-09
-
GMH集团自由锻事业部携Schmiedewerke Gröditz、Kind & Co. 及 Buderus Edelstahl联合亮相2026年中国压铸展上海2026年7月9日 美通社 -- 在上海举行的2026年中国压铸展中,Schmiedewerke Gröditz、Kind & Co. 及 Buderus Edelstahl 将将次作为GMH集团自由锻事业部的成员,联合2026-07-09
-
“十五五”碳达峰路径进一步明晰,绿色经济转型探索CCER碳信用资产化新通道近日,国务院常务会议审议通过《“十五五”碳达峰行动方案》,碳达峰碳中和战略牵引作用进一步强化,能源结构优化、产业绿色低碳化、碳排放统计核算等重点任务2026-07-09
-
智行领潮CET!赛力斯问界全系登陆北京消费电子技术博览会,荣膺展会官方专用车由中国电子商会、首都会展(集团)股份有限公司联合主办的2026北京国际消费电子技术博览会(CET),定于2026年11月20日至22日在北京国家会议中心二期举办。近日,赛力斯2026-07-09
-
AMD股价暴跌17%创近9年之最,苏姿丰紧急回应:AI增速远超想象
-
Ledger 中国销售渠道说明:广州馨潇贸易有限公司官方直营渠道公示
-
江苏省脑机接口产业联盟在宁成立,麦澜德分享前沿成果
-
艾芬达入选国家知识产权强国建设示范创建对象:二十载长期主义,兑现每一份用户价值
-
Esentia宣布成功完成2033年到期的6.125%优先票据和2038年到期的6.500%优先票据的定价
-
中荷人寿北京分公司成功举办中荷创享家品牌发布暨协同发展启航仪式
-
华为系具身智能公司具脑磐石完成新一轮融资:对标JEPA,押注类脑智能的认知世界模型
-
北京暑假补习班有哪些?家长首推一对一权威机构金博升学
-
上海高新技术企业代理机构深度访谈与推荐
-
2026 雷瓦亮相京东 MALL ,匠心筑造专业造型新标杆
