Arch Day 172
Arch Day 172: Web3安全全景 — 2025年$2.7B损失与攻击趋势
2025年Web3安全的最大教训:#1威胁不再是智能合约bug,而是钓鱼+私钥泄露+供应链攻击。Bybit $1.5B被盗(史上最大)是朝鲜Lazarus Group通过社会工程攻击的结果。
2026-09-18
第七阶段 - Web3专题深度Web3安全黑客攻击漏洞BybitLazarus攻击向量
日期: 2026-09-18 (Day 172) 阶段: 第七阶段 - Web3专题深度 标签: #Web3安全 #黑客攻击 #漏洞 #Bybit #Lazarus #攻击向量
核心概念
一句话定义
2025年Web3安全的最大教训:#1威胁不再是智能合约bug,而是钓鱼+私钥泄露+供应链攻击。Bybit $1.5B被盗(史上最大)是朝鲜Lazarus Group通过社会工程攻击的结果。
知识点详解
1. 2025年损失数据
| 指标 | 数据 |
|---|---|
| 总损失 | $2.7-3.35B(同比+37%) |
| 最大单次 | Bybit $1.5B |
| Lazarus Group | $2.02B(占60%+) |
| Top 5占比 | 62%的总损失 |
| CEX占比 | 20次事件 > 50%总损失 |
2. 攻击向量排行(2025-2026)
| 排名 | 攻击类型 | 损失 | 趋势 |
|---|---|---|---|
| 1 | Access Control/私钥泄露 | $953M | 上升(社工攻击) |
| 2 | Flash Loan | 下降 | DeFi协议防护增强 |
| 3 | Oracle Manipulation | 稳定 | 多Oracle缓解 |
| 4 | Reentrancy | 降至第8 | Move等新语言消除 |
| NEW | Proxy & Upgradeability | 首次进Top10 | 升级合约风险 |
3. OWASP Smart Contract Top 10 (2026更新)
- Proxy & Upgradeability首次进入
- Reentrancy降至#8
- Access Control仍是#1
4. PM必知安全事件
| 事件 | 金额 | 根因 | PM教训 |
|---|---|---|---|
| Bybit 2025 | $1.5B | 社工→私钥 | 签名验证流程 |
| Euler 2023 | $197M | 逻辑漏洞 | 审计覆盖率 |
| Ronin 2022 | $625M | 验证者被攻破 | 去中心化验证 |
面试题
问题:作为PM,你如何在产品设计阶段考虑安全?
回答:安全左移(Shift Left)——1) 需求阶段:识别资产边界和攻击面;2) 设计阶段:最小权限+多签+Timelock;3) 开发阶段:CI/CD集成Slither静态分析;4) 上线前:至少2家审计+Bug Bounty;5) 运行时:Forta实时监控+暂停机制。