币圈界报道:

2026年上半财年Web3安全事件损失突破13亿美金,威胁模式深度演变

2026年前六个月,全球Web3生态遭遇累计超过13.1亿美元的经济损失,主要来自黑客攻击、系统漏洞被利用及各类诈骗活动。尽管名义总额较去年同期下降46.8%,但这一趋势掩盖了深层风险加剧的现实——攻击行为正从广撒网转向精准打击,单次事件造成的财务冲击显著上升。

重大攻击集中爆发,少数事件主导整体损失格局

今年1月至6月共记录344起安全事件,与去年同期基本持平。然而,若剔除2025年Bybit创纪录的14.5亿美元漏洞影响,2026年上半年实际损失较基线水平高出约28%,反映出行业安全态势并未好转,反而在向更隐蔽、高回报方向演进。

两起链上攻击贡献近半数总损失,凸显基础设施脆弱性

上半年近一半的资产流失源于两起间隔数周的重大事件:Kelp DAO因链下RPC接口存在缺陷,遭攻击者利用导致约2.913亿美元资金外流;而Drift Protocol则因管理员密钥泄露,攻击者伪造抵押品并提取资产,造成约2.853亿美元被盗。两者合计占总损失比例达44%,若排除这两起,其余事件总损失将控制在7.5亿美元以内,显示大型攻击仍是行业风险的核心驱动因素。

钱包攻破成最高成本攻击类型,社会工程转型加剧风险

尽管仅发生33起钱包相关攻击,其造成的损失却高达4.44亿美元,远超代码漏洞类事件(204起,总损约1.516亿美元)。这表明攻击者已不再依赖传统智能合约漏洞,转而聚焦于特权凭证、密钥管理与操作基础设施的弱点。与此同时,钓鱼攻击虽数量锐减超一半,但损失降幅有限,原因在于攻击者采用高度定制化的社会工程手段,锁定高净值个体与机构作为目标。

以太坊持续领跑,跨链转移提升追赃难度

以太坊依然是安全事件最密集的区块链,共计153起,损失5.228亿美元;Solana以7起事件、3.151亿美元损失位列第二,主要受Drift Protocol事件拖累。此外,BNB Chain录得107起事件,损失6550万美元;比特币生态6起事件,损失1.446亿美元。约1.15亿美元被盗资金被冻结或追回,调整后净损失约为12亿美元。攻击者广泛使用隐私工具与跨链桥进行资产转移,极大增加了执法与追踪的复杂度。同时,大量未更新的安全审计旧版智能合约频繁成为重复攻击目标,暴露了存量DeFi生态的长期隐患。

总体来看,2026年上半年并未呈现安全改善迹象,反而揭示出威胁模型的根本性转变:攻击频率趋于稳定甚至下降,但单次事件的破坏力与策略复杂度持续攀升,操作安全已与合约安全同等重要,成为整个行业亟待应对的新挑战。