

CertiK《Hack3D:2026年上半年报告》现已发布,报告显示:2026年上半年,Web3生态共发生344起安全事件,累计损失约13.2亿美元。表面来看,这一数字较2025年同期下降46.8%;然而,如果剔除去年同期Bybit遭遇的14.5亿美元超大规模安全事件影响,今年上半年损失规模实际上同比增长约28%。
从表象来看,市场容易将损失规模下降解读为安全环境改善;但从事件数量、单次攻击影响力以及攻击模式变化来看,Web3行业正在面临更加复杂且持续升级的安全挑战。
安全损失下降背后:风险并未减少
2025年2月发生的Bybit事件曾造成约14.5亿美元损失,占当年上半年全部损失的近六成,对整体统计结果产生了显著影响。
在剔除这一异常事件后,2025年上半年实际损失约为10.3亿美元,而2026年上半年损失达到13.2亿美元。即便考虑到约1.2亿美元被冻结或追回资金,调整后的实际损失仍高达约12亿美元。
此外,从时间跨度来看,攻击活动的基线正呈现逐季加剧的趋势。第二季度的安全事件数量从去年的145起大幅攀升至194起,同比增长达34%。第二季度单起事件的损失中位数也同比大幅增长60.6%,达到了约16.9万美元,这意味着即便是日常发生的中小型攻击,其单次破坏力也在显著放大。

钱包安全成为最大的资金风险来源
与过去几年智能合约漏洞长期占据主要风险来源不同,2026年上半年,钱包被盗已经成为造成资金损失最大的攻击类型。
上半年共发生33起钱包被盗事件,累计损失约4.5亿美元,占全部损失的三分之一以上。虽然事件数量并不多,但单次事件平均损失超过1,340万美元,远高于其他攻击类别。
其中,4月发生的Drift Protocol事件单独造成约2.9亿美元损失,成为上半年最严重的安全事件之一。
这反映出攻击者正在将目标从单纯的智能合约漏洞转向密钥管理系统、多签钱包以及机构级基础设施,通过少量高价值攻击获取更大的经济回报。对于持有大量链上资产的协议和机构而言,私钥管理、多签架构以及运营层面的安全措施正成为最关键的防线。
钓鱼攻击减少,但变得更加致命
相比往年,网络钓鱼攻击的数量正在下降,但其造成的破坏力却在显著提升。
2026年上半年共发生63起钓鱼攻击事件,较2025年同期下降超过50%。然而,同期损失金额仅下降约10.8%,仍达到约3.7亿美元。
报告指出,这意味着攻击者策略正在发生变化:过去,钓鱼攻击更多依赖大规模撒网式欺诈;如今,攻击者正将资源集中于高净值个人、机构投资者以及掌握大量链上资产的目标,通过更复杂的社会工程学攻击提高单次攻击收益。
数据显示,仅4起社会工程学攻击就造成约3.1亿美元损失,占全部钓鱼攻击损失的近85%。其中,2026年1月发生的一起跨链社会工程学攻击造成约2.9亿美元损失,成为近年来最严重的钓鱼攻击事件之一。

老旧代码正在成为新的攻击目标
另一项值得关注的趋势是,攻击者开始重新审视大量已经运行多年的智能合约。
2026年上半年,代码漏洞相关事件达到204起,累计损失约1.5亿美元,是所有攻击类型中数量最多的一类。特别是在第二季度,代码漏洞事件数量从第一季度的78起上升至126起,增长明显。
报告指出,越来越多攻击开始针对长期运行、部署多年后从未重新审计的老旧代码库。随着自动化安全研究工具和AI辅助分析能力不断提升,攻击者能够以更低成本发现历史代码中的潜在风险。
这一趋势意味着,项目上线并不意味着安全工作的结束。对于长期运营的协议而言,定期重新审计正在从可选项逐渐变为必要项。
超大规模攻击仍主导行业损失
从个案来看,上半年两起重大安全事件贡献了接近一半的行业损失。
4月发生的Kelp DAO RPC基础设施攻击造成约2.91亿美元损失;同月发生的Drift Protocol事件造成约2.85亿美元损失。两起事件合计损失约5.77亿美元,占上半年总损失的44%。
虽然行业整体损失数据往往受到少数极端事件影响,但更值得关注的是高价值攻击事件正在变得越来越频繁。
与过去相比,攻击者不仅攻击更加精准,单次攻击造成的经济影响也在持续扩大。报告显示,2026年上半大额安全事件占比已明显高于历史同期水平。
洗钱网络持续升级,国家级攻击威胁仍然存在
除了攻击本身,CertiK还观察到攻击后的资金转移活动正在变得更加复杂。
在已完成洗钱的案例中,Tornado Cash仍然是最常见的匿名化工具,但跨链协议、多路径洗钱以及组合式资金转移方式正在快速增长。对于数亿美元规模的大型攻击事件而言,传统混币工具已经难以满足需求,跨链基础设施正逐渐成为新的洗钱通道。
与此同时,朝鲜背景黑客组织仍被认为是Web3生态中最具威胁性的攻击力量之一。
报告指出,相关组织的攻击方式已经从传统漏洞利用扩展至供应链攻击、开发环境渗透、社会工程学攻击以及机构级基础设施攻击,其目标也越来越集中于交易平台、多签管理体系以及关键运营人员。
结语
尽管2026年上半年Web3行业总损失较去年同期出现下降,但这一变化更多源于统计基数的影响,而非安全环境的改善。
从钱包被盗超过代码漏洞成为最大损失来源,到高价值钓鱼攻击持续增加,再到老旧代码和机构级基础设施成为新的重点攻击目标,攻击者正在不断调整策略并提升攻击效率。
对于整个行业而言,风险并未消失,而是在向更加复杂、更具针对性的方向演化。
声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多企业信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。投资有风险,需谨慎。
2026年1-5月中国乘用车出口到哪了:
韩国股市暴跌触发熔断机制
推6款车型鑫源向上V6正式上市售价6.9
又要卖爆了!对比海狮06/深蓝S05/零
史上最严电池令落地实施,吉利神盾金砖电池
聚力培育工匠人才江苏省职业教育工匠学院联
平均车龄仅?1.8年,新能源车主换车这么
4类车辆车船税优惠政策将取消
三部门调整节能车、新能源车车船税优惠政策
架构重组成效初显,昊铂埃安BU迈入收获期
GSA2026HRC携绿色循环再生产品新
告别“野蛮生长”,机器人分会发出倡议
博登智能:真机·真场景·真数据
丰田越南7月推最高7,500万越南盾购车
阿里云AI智能座舱,从涌现到进化
华商基金张永志管理华商可转债债券近3年、
我国高端核磁共振波谱仪实现突破
涉及生态环境、电磁计量,45项国家计量技
中国化学工程十四化建开展主题活动表彰先进
GSA2026猛士汽车携双车亮相欢迎广大网友来本网站投稿,网站内容来自于互联网或网友提供 邮箱:hchchc0324@163.com