概览

2025 年 5 月，Web3 安全事件总损失约 2.66 亿美元。其中，据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计，共发生 15 起被黑事件，导致损失约 2.57 亿美元，有 1.62 亿美元得到冻结或返还，事件原因涉及合约漏洞、预言机攻击和账号被黑等。此外，据 Web3 反诈骗平台 Scam Sniffer 统计，本月有 7,164 名钓鱼事件受害者，损失规模达 963 万美元。

(https://dune.com/scam-sniffer/may-2025-scam-sniffer-scam-report)

安全大事件

Cetus Protocol

2025 年 5 月 22 日，SUI 生态上的流动性提供商 Cetus Protocol 遭攻击，流动性池深度大幅下降，Cetus 上多个代币交易对出现下跌，损失约 2.3 亿美元。

事件发生后，慢雾安全团队第一时间介入分析发现，此次事件的核心是攻击者通过精心构造参数，使溢出发生但又能绕过检测，最终用极小的 Token 金额即可换取巨额流动性资产，详细分析见慢雾：Cetus 被盗 2.3 亿美金事件分析。

（攻击时序图）

幸运的是，据 Cetus 称，在 SUI 基金会及其他生态系统成员合作下，目前已成功冻结了在 SUI 上的 1.62 亿美元的被盗资金。

(https://x.com/CetusProtocol/status/1925567348586815622)

Cork Protocol

2025 年 5 月 28 日，慢雾(SlowMist) 监测到与 Cork Protocol 相关的潜在可疑活动。据慢雾安全团队分析，此次攻击的根本原因在于一方面 Cork 允许用户通过 CorkConfig 合约创建以任意资产作为赎回资产(RA)，使得攻击者可以将 DS 作为 RA 使用。另一方面任意用户都可以无需授权的调用 CorkHook 合约的 beforeSwap 函数，并允许用户传入自定的 hook 数据进行 CorkCall 操作，使得攻击者可以操控，将合法市场中的 DS 存入另一个市场中作为 RA 使用，并获得对应的 DS 和 CT 代币。

(https://x.com/SlowMist_Team/status/1927705256915333359)

据链上反洗钱与追踪工具 MistTrack 分析，攻击者地址 0xea6f30e360192bae715599e15e2f765b49e4da98 获利 3,761.878 wstETH，价值超 1,200 万美元。截至目前，共有 4,530.5955 ETH 停留在攻击者地址上，我们将持续对资金进行监控。

BitoPro

据链上侦探 ZachXBT 披露，台湾加密货币交易所 BitoPro 疑似在 2025 年 5 月 8 日遭遇攻击，损失金额约为 1,150 万美元。BitoPro 在 Tron、Ethereum、Solana、Polygon 等多个链上的热钱包出现异常资金外流，被盗资产通过去中心化交易所被迅速抛售。随后，这些资金被转入 Tornado Cash，或通过 Thorchain 跨链转至比特币网络，并进一步存入 Wasabi 钱包进行洗钱。

(https://x.com/zachxbt/status/1929417001296146868)

Demex

2025 年 5 月 16 日，Demex 的借贷市场 Nitron 遭攻击，损失约 95 万美元。据 Demex 发布的事故分析报告显示，此次攻击的根本原因是攻击者对已废弃的 dGLP 金库进行了一次基于捐赠的预言机操纵攻击。

(https://blog.dem.exchange/nitron-post-mortem/)

5 月 19 日，Demex 更新事件进展，表示在合作伙伴的支持下，已成功追回了 7.8 万美元。

Zunami Protocol

2025 年 5 月 15 日，Zunami Protocol 发推表示遭攻击，zunUSD 和 zunETH 的抵押资产被盗，损失约 50 万美元。攻击者已将所盗资金转入 Tornado Cash。

(https://x.com/ZunamiProtocol/status/1922993510925435267)

5 月 30 日，Zunami Protocol 创始人 @kirill_zunami 发推表示正在调查此次攻击事件，并同步考虑两种可能的情况：部署者密钥被盗，或密钥持有者存在恶意行为。

(https://x.com/kirill_zunami/status/1928131508117651725)

特征分析及安全建议

本月区块链安全事件中，合约漏洞仍是造成损失的主要原因。其中，6 起合约漏洞相关事件共计造成约 2.44 亿美元的损失，占本月被黑事件损失的 95%。慢雾安全团队建议项目方持续保持高度警惕，定期开展全面的安全审计工作，及时发现并修复潜在漏洞，同时关注最新的攻击手法和安全趋势，切实保障资产与用户安全。

本月账号被黑事件再次引发广泛关注，共发生 6 起。除 Web3 项目方的官方账号外，媒体机构及其他高关注度的账号也成为攻击目标。例如 5 月 12 日，英国足球俱乐部 @SheffieldUnited 的 X 账号被黑，攻击者利用其发布虚假代币地址。攻击者还利用 Cointelegraph 的 X 账号私信定向发送钓鱼链接，诱导用户点击。关于如何加固 X 平台账号安全，可参考慢雾(SlowMist) 此前发布的慢雾：X 账号安全排查加固指南。

值得警惕的是，朝鲜黑客组织 Lazarus Group 近期开始将攻击目标由机构转向个人投资者。5 月 24 日，该组织通过恶意软件从一名商家处窃取超 520 万美元，这一事件或标志着其攻击策略的重大转变。因此，普通用户同样应积极提升安全意识，可参考《区块链黑暗森林自救手册》提升防护能力。(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

本月，关于 Coinbase 用户频繁遭遇社会工程攻击原因的调查有了新进展。根据 Coinbase 披露的信息，攻击者利用了内部员工的权限，获取部分用户的敏感数据，并据此发起了精准的社工攻击。这一发现揭示了内外勾结在安全体系中的巨大隐患，也再次提醒各类平台须加强对内部权限的管理。更多事件细节见黑暗森林里的“客服”：社工骗局盯上 Coinbase 用户。

最后，本文收录的事件为本月主要安全事件，更多区块链安全事件可在慢雾区块链被黑档案库(https://hacked.slowmist.io/) 查看，点击阅读原文可直接跳转。