概览

2025 年 7 月，Web3 安全事件总损失约 1.47 亿美元。其中，据慢雾区块链被黑档案库(https://hacked.slowmist.io) 统计，共发生 13 起被黑事件，导致损失约 1.4 亿美元，有 4248 万美元得到冻结或返还，事件原因涉及合约漏洞、供应链攻击和账号被黑等。此外，据 Web3 反诈骗平台 Scam Sniffer 统计，本月有 9143 名钓鱼事件受害者，损失规模达 709 万美元。

(https://dune.com/scam-sniffer/july-2025-scam-sniffer-scam-report)

安全大事件

CoinDCX

2025 年 7 月 19 日，链上侦探 ZachXBT 于其个人频道发文称：“看起来印度的中心化交易平台 CoinDCX 可能在大约 17 小时前被盗，损失约 4420 万美元，但截至目前仍未向社区披露此事件。”

不久后，该公司联创 Sumit Gupta 在 X 上作出回应。在回应中，Sumit 披露受到攻击的钱包是一个仅用于提供流动性的内部运营账户，客户的资金因储存在安全的冷钱包中而并未受到影响，交易和提款将恢复正常，攻击产生的全部损失将由 CoinDCX 的储备金承担。

(https://x.com/smtgpt/status/1946597988660645900)

7 月 31 日，据 FinanceFeeds 报道，CoinDCX 的一位软件工程师因涉及协助攻击被捕。攻击者以兼职工作为由向该软件工程师的电脑中安装恶意软件，并支付高额兼职薪资。该恶意软件是一款复杂的键盘记录器，攻击者借此获取登录凭证并访问 CoinDCX 的内部系统，最终导致了此次事件。

GMX

2025 年 7 月 9 日，据慢雾 MistEye 安全监控系统监测，去中心化交易平台 GMX 遭攻击，损失价值超 4200 万美元的资产。据慢雾安全团队分析，本次攻击的核心在于攻击者利用了 Keeper 系统执行订单时会启用杠杆，以及做空时会更新全局平均价格而平空却不会更新的这两个特性，通过重入攻击创建大额空头头寸，操控了全局空头平均价格和全局空头仓位规模的值，从而直接放大了 GLP 价格来赎回获利，详细分析见GMX 被黑分析：4200 万美金瞬间蒸发。

(https://x.com/SlowMist_Team/status/1942949653231841352)

7 月 11 日，GMX 在 X 上发布声明，表示此次安全事件源于 GMX V1 代码库的安全漏洞，该漏洞已披露，并通知 GMX V1 分支。为感谢该白帽黑客所作出的努力，GMX 已向其支付 500 万美元赏金，此前攻击涉及的 4200 万美元资金已得到保障。

(https://x.com/GMX_IO/status/1943654914749534380)

BigONE

2025 年 7 月 16 日，据慢雾安全团队监测，加密货币交易平台 BigONE 遭供应链攻击，损失超 2700 万美元。攻击者入侵了其生产网络，并修改了账户与风控相关服务器的操作逻辑，从而实现资金转出。7 月 24 日，BigONE 在 X 上更新事件进展，表示此次事件没有发生私钥泄露，且所有损失将由官方承担。

(https://x.com/SlowMist_Team/status/1945346830222680330)

WOO X

2025 年 7 月 24 日，加密货币交易平台 WOO X 因安全漏洞暂停提款，9 个用户账户遭遇约 1400 万美元未经授权的提款。据官方披露，漏洞源自团队成员遭遇针对性钓鱼攻击，攻击者通过团队成员的设备获得了对交易平台开发环境的有限访问权限，绕过了部分安全措施，协调了对这 9 个账户的未经授权提币操作。

(https://support.woox.io/hc/en-us/articles/49178783818777-Temporary-withdrawal-suspension-July-24-2025)

ZKSwap

2025 年 7 月 9 日，ZKSwap 的以太坊 Layer 1 跨链桥遭遇了一起攻击事件，攻击者利用其紧急提取机制，造成约 500 万美元的资金损失。据分析，负责验证零知识证明的机制实际上并未真正执行验证。这一严重疏漏使得攻击者能够任意伪造提款证明，从而绕过跨链桥最核心的安全保障。

(https://x.com/R4ZN1V/status/1948448167734673838)

特征分析及安全建议

7 月份的区块链安全事件中，合约漏洞仍是主要攻击手段，攻击目标集中在中心化交易平台和去中心化金融平台。其中，中心化交易平台相关安全事件造成的总损失高达 8520 万美元，占本月被黑事件损失的 60.8%。慢雾安全团队提醒开发者，DeFi 协议在集成杠杆机制、预言机等复杂功能时，应特别注意全局状态一致性和边界条件的完整验证，避免因交互逻辑偏差引发系统性风险；而中心化交易平台则应进一步提升审计标准与系统透明度，强化整体安全防线。

除链上攻击外，日常使用场景中的安全隐患同样不可忽视：

• 本月再次出现因通过非官方渠道购买硬件钱包而导致资产被盗的事件，受害者损失达 4.35 BTC，慢雾安全团队此前在Web3 安全入门避坑指南｜硬件钱包的常见陷阱中讲解过这一手法，感兴趣的读者可点击查看。

近期亦频繁发生假 Zoom 会议钓鱼事件：用户点击恶意链接进入伪造会议室，画面正常却无声音，在攻击者“技术支持”引导下下载所谓修复工具，最终造成资产损失。目前，Web3 钓鱼演练平台 Unphishable (https://unphishable.io/) 已上线“假 Zoom 在线会议钓鱼模拟”关卡，用户可以通过闯关打卡来提升安全意识和防护能力。

---

Twitter：https://twitter.com/BitpushNewsCN

比推 TG 交流群：https://t.me/BitPushCommunity

比推 TG 订阅： https://t.me/bitpush