GMX价格GMX

*本报告由 Beosin、Footprint Analytics 联合出品 *本篇内容为 2025 年 Web3 安全态势报告，我们将在后续发布虚拟资产反洗钱合规等报告，请持续关注 Beosin 微信公众号。 前言 本研究报告由区块链安全联盟发起，由联盟成员 Beosin、Footprint Analytics 共同创作，旨在全面探讨 2025 年全球区块链安全态势。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。区块链安全和监管是 Web3 时代发展的关键问题。通过本报告的深入研究和探讨，我们可以更好地理解和应对这些挑战，以推动区块链技术的安全性和可持续发展。 1、2025 年 Web3 区块链安全态势综述 据区块链安全与合规科技公司 Beosin 旗下 Alert 平台监测，2025年 Web3 领域因黑客攻击、钓鱼诈骗和项目方Rug Pull造成的总损失达到了33.75亿美元。区块链重大安全事件共 313 起，其中黑客攻击事件 191起，总损失金额约31.87亿美元；项目方 Rug Pull 事件总损失约 1150 万美元；钓鱼诈骗 113 起，总损失金额约1.77亿美元。 2025 年 Q1 损失金额最为惨重，绝大部分损失来自 Bybit 的黑客事件。黑客攻击的损失金额随季度持续下降，但较 2024 年有大幅上升，增幅为 77.85%；钓鱼诈骗与项目方 Rug Pull 事件的损失金额较 2024 年均显著下降，其中钓鱼诈骗的金额损失降幅约为 69.15 %，Rug Pull 的金额损失降幅约 92.21 %。 2025年被攻击的项目类型包括 DeFi、CEX、公链、跨链桥、NFT、Memecoin 交易平台、钱包、浏览器、第三方代码包、基础设施、MEV 机器人等多种类型。DeFi依然为被攻击频次最高的项目类型，91次针对 DeFi 的攻击共造成损失约6.21亿美元。CEX 为总损失金额最高的项目类型，9次针对 CEX 的攻击共造成损失约17.65亿美元，占总损失金额的 52.30%。 2025年Ethereum 依旧是损失金额最高的公链，170次 Ethereum 上的安全事件造成了约 22.54 亿美元的损失，占到了全年总损失的66.79%。 从攻击手法来看，Bybit 事件因供应链攻击造成约 14.40亿美元的损失，占总损失的42.67%，是造成损失最多的攻击方式。除此之外，合约漏洞利用是出现频次最高的攻击方式，191 起攻击事件里，有62次来自于合约漏洞利用，占比达到了32.46%。 2、2025 年十大安全事件 2025 年共发生损失过亿的安全事件 3 起：Bybit（14.40 亿美元）、Cetus Protocol（2.24 亿美元）与 Balancer（1.16 亿美元），接下来是 Stream Finance（9300 万美元）、BTC 巨鲸（9100 万美元）、Nobitex（9000 万美元）、Phemex（7000 万美元）、UPCX（7000 万美元）、以太坊用户（5000 万美元）、Infini（4950 万美元）。 与往年不同的是，今年前 10 大安全事件中出现了 2 起个人用户的巨额损失，其损失原因为社会工程学/钓鱼攻击。虽然此类攻击并非造成损失金额最大的攻击手段，但其攻击频次每年呈上升趋势，成为个人用户面临的一大威胁。 *十大安全事件的具体内容可通过完整版报告查看。 3、被攻击项目类型 中心化交易所成为损失金额最高的项目类型 2025 年损失最高的项目类型为中心化交易所，9 次针对中心化交易所的攻击共造成了约 17.65 亿美元的损失，占总损失金额的 52.30 %。其中损失金额最大的交易所为 Bybit，损失约 14.4 亿美元。其余损失金额较大的有 Nobitex（损失约 9000 万美元）、Phemex（损失约 7000 万美元）、BtcTurk（4800 万美元）、CoinDCX（4420 万美元）、SwissBorg（4130 万美元）、Upbit（3600 万美元）。 DeFi 为被攻击频次最高的项目类型，91 次针对 DeFi 的攻击共造成损失约 6.21 亿美元，排在损失金额的第二位。其中 Cetus Protocol 被盗约 2.24 亿美元，占 DeFi 被盗资金的 36.07%，Balancer 损失约 1.16 亿美元，其余损失金额较大的 DeFi 项目有 Infini（约 4950 万美元）、GMX（约 4000 万美元）、Abracadabra Finance（1300 万美元）、Cork Protocol（约 1200 万美元）、Resupply（约 960 万美元）、zkLend（约 950 万美元）、Ionic（约 880 万美元）、Alex Protocol（约 837 万美元）。 4、各链损失金额情况 Ethereum 为损失金额最高、安全事件最多的链 和往年相同的是，Ethereum 依旧是损失金额最高、安全事件发生次数最多的公链。170 次 Ethereum 上的安全事件造成了约 22.54 亿美元的损失，占到了全年总损失的 66.79 %。 安全事件次数排名第二的公链为 BNB Chain，64 次安全事件共造成了约 8983 万美元的损失。BNB Chain 的链上攻击次数多，损失金额相对较小，但相比 2024 年，发生安全事件的次数与损失金额均大幅增加，损失金额增加 110.87%。 Base 为安全事件次数排名第三的区块链，共计 20 次安全事件。Solana 以 19 次安全事件紧随其后。 5、攻击手法分析 合约漏洞利用是出现频次最高的攻击方式 191 起攻击事件里，有62次来自于合约漏洞利用，占比达到了 32.46%，造成的总损失达 5.56 亿美元，是除 Bybit 因供应链攻击外，损失金额最大的一类攻击手段。 按照合约漏洞细分，造成损失最多的漏洞为：业务逻辑漏洞，共计损失金额为 4.64 亿美元。出现次数前三名的合约漏洞为业务逻辑漏洞（53 次）、访问控制漏洞（7 次）、算法缺陷（5 次）。 今年私钥泄露事件共计 20 次，总损失金额约 1.80 亿美元，发生次数与造成的损失相比于去年大幅减少。交易所、项目方以及用户对私钥的保护意识有所提升。 6、典型安全事件攻击分析 6.1Cetus Protocol 2.24 亿美元安全事件分析 事件概要 2025 年 5 月 22 日，Sui 生态上的 DEX Cetus Protocol 被攻击，其漏洞源于开源库代码中左移运算的实现错误。以其中一笔攻击交易 (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview) 为例，简化的攻击步骤如下： 1. 启用闪电贷：攻击者通过闪电贷借入 1000 万 haSUI。 2. 创建流动性仓位：开设一个新的流动性仓位，其价格区间为 [300000, 300200]。 3. 增加流动性：仅使用 1 个单位的 haSUI 增加了流动性，但获得了高达 10,365,647,984,364,446,732,462,244,378,333,008 的流动性值。 4. 移除流动性：立即移除多笔交易中的流动性，以耗尽流动性池。 5. 偿还闪电贷：偿还闪电贷并保留约 570 万 SUI 作为利润。 漏洞分析 本次攻击的根本原因在于 get_delta_a 函数中的 checked_shlw 实现错误，导致溢出检查失败。攻击者仅需要少量代币，就能在流动性池中兑换出大量资产，从而实现攻击。 如下图所示， checked_shlw 用于判断 u256 数左移 64 位是否会导致溢出，小于 0xffffffffffffffff 192 的输入值会绕过溢出检测，但输入值在在左移 64 位后可能会超出 u256 最大值（溢出），而 checked_shlw 仍会输出未发生溢出（false）。这样一来，在后续计算中就会严重低估所需的代币数量。 此外，在 Move 中，整数运算的安全性旨在防止溢出和下溢，因为溢出和下溢可能导致意外行为或漏洞。具体来说：如果加法和乘法的计算结果对于整数类型来说过大，则会导致程序中止。如果除数为零，则除法中止。 而左移（）的独特之处在于，发生溢出时不会中止。这意味着，即使移位的位数超出了整数类型的存储容量，程序也不会终止，从而可能导致错误值或不可预测的行为。 6.2 Balancer 1.16 亿美元安全事件分析 2025 年 11 月 3 日，Balancer v2 协议遭到攻击，包括其 fork 协议在内的多个项目在多条链上损失约 1.16 亿美元。以攻击者在以太坊上的攻击交易为例：0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742 1.攻击者首先通过批量互换功能发起攻击交易，其使用 BPT 大量换出池子的流动性代币，使得池子的流动性代币储备变得很低。 2. 随后攻击者开始进行流动性代币（osETH/WETH）的互换。 3. 然后再将流动性代币换回 BPT 代币，并在多个池子不断重复以上操作。 4. 最后进行提款，实现获利。 漏洞分析 ComposableStablePools 使用 Curve 的 StableSwap 不变式公式来维持相似资产之间的价格稳定性。然而，进行不变式计算的缩放操作时会引入误差。 mulDown 函数执行向下取整的整数除法，这种精度误差会传递到不变式的计算中，导致计算值异常降低，从而为攻击者创造获利机会。 7、反洗钱典型案例分析 7.1 美国制裁以 Ryan James Wedding 为首的贩毒集团 据美国财政部披露的资料显示，Ryan JamesWedding 及其团队经由哥伦比亚和墨西哥走私了数吨可卡因并销往美国和加拿大。其犯罪组织利用加密货币洗钱，以清洗巨额的非法财富。 通过 Beosin 旗下的链上追踪与调查工具 Beosin Trace，对与 Wedding 的贩毒集团关联的加密货币地址进行分析，分析结果如下所示： TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP、TVNyvx2astt2AB1 Us67ENjfMZeEXZeiuu6 与 TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 这 3 个 Wedding 持有的地址共经手 266,761,784.24 USDT，一部分资产已被 Tether 官方冻结，但大部分资产已经通过高频次交易的地址和多级转移完成清洗，充值到 Binance、OKX、Kraken、BTSE 等平台。 其团伙 Sokolovski 持有多个区块链网络（BTC、ETH、Solana、TRON、BNB Beacon Chain）的地址，其资金流向分析结果可通过完整版报告查看。 7.2 GMX 4000 万美元资金被盗案件 2025 年 7 月 10 日，GMX 因可重入漏洞被攻击，黑客获利约 4200 万美元。Beosin Trace 对被盗资金进行追踪发现：攻击者地址 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355在获利后通过 DEX 协议将各类稳定币和山寨币兑换成 ETH 和 USDC，并通过多个跨链协议将被盗资产转移至 Ethereum 网络。 随后 GMX 被盗资产中价值约 3200 万的 ETH 分别存放在以下 4 个以太坊网络地址： 0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7 0x69c965e164fa60e37a851aa5cd82b13ae39c1d95 0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3 0x639cd2fc24ec06be64aaf94eb89392bea98a6605 约 1000 万美元的资产存放在 Arbitrum 网络的地址 0xdf3340a436c27655ba62f8281565c9925c3a5221。 本次事件的资金清洗路径非常典型，黑客通过 DeFi 协议、跨链桥等方式对资金的路径进行混淆和隐藏，以躲避来自监管机构、执法部门的追踪和冻结。 8、2025 Web3 区块链安全态势总结 2025年，钓鱼诈骗、项目方 Rug Pull所造成的金额损失较 2024年均有明显下降，然而黑客攻击频发，损失金额超过了 31 亿美元，其中损失最高的项目类型依然为交易所。而私钥泄露相关的安全事件有所减少，造成这一转变的主要原因包括： 在去年猖獗的黑客活动之后，今年整个 Web3 生态更加注重安全性，从项目方到安全公司都在各个方面做出了努力，如内部安全运营、实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验，在私钥保管与项目运营安全方面不断加强了安全意识。由于合约漏洞和盗取私钥的难度越来越高，黑客开始通过其它手段，如供应链攻击、前端漏洞等方式欺骗用户将资产转移至黑客控制的地址。 此外，随着加密市场与传统市场的融合，攻击目标不再局限于攻击 DeFi、跨链桥、交易所等类型，而是转向攻击支付平台、博彩平台、加密服务提供商、基础设施、开发工具、MEV 机器人等多种目标，攻击的焦点也转向更为复杂的协议逻辑缺陷。 对个人用户而言，社会工程/钓鱼攻击以及可能存在的暴力胁迫成为个人资产安全的重大威胁。目前，许多钓鱼攻击因涉及金额较小，受害者为个人用户而未被公开报道或者记录，其损失数据往往被低估，但用户应提高防范此类攻击的意识。而针对加密用户的绑架等具有暴力胁迫的物理方式在今年屡次出现，用户需保护好个人身份信息，并尽可能减少加密资产的公开暴露。 总体而言，2025 年的 Web3 安全依然面临着严峻挑战，项目方与个人用户不可掉以轻心。在未来，供应链安全可能成为 Web3 安全的重中之重。如何持续保护行业的各类基础设施服务提供商以及监控、告警供应链中存在的威胁，是行业各方需要共同解决的一大挑战。而AI 驱动的社会工程/钓鱼攻击可能会继续增加，这需要构建一个从个人意识到技术屏障、再到社区协作的多层次、实时、动态的防御体系以进行应对。

在Web3世界中，我们正经历一场从“模糊治理”向“价值逻辑回归”的深度演变。过去，受限于外部监管压力，许多项目被迫将商业核心价值锁在链下股权中，而让代币在链上充当缺乏实质支撑的“空气凭证”。 如今，一个清晰的共识正在浮现：**代币不应该是股权的劣质仿制品，而是一种全新的、更大维度的财产形态。** ### 一、 价值捕获的“柏林墙” 要理清代币与股权，必须在链上与链下之间筑起一道逻辑上的“柏林墙”。 **代币的核心是“确定性”。** 如果你持有代币，你拥有的是对一套去中心化代码的**直接控制权**。 **股权的核心是“可能性”。** 持有股权意味着你信任这个团队的**商业协作能力**。股权公司拥有的是办公室租约、员工合同以及可能被并购的潜力。 --- ### 二、 冲突与协同：实战案例解析 在这一轮实验期，代币持有者与股权公司之间的利益摩擦正变得具象化。 ### 1. Aave：前端接口与协议主权的博弈 最近 **Aave** 社区爆发了激烈的争论。**Aave Labs**（开发公司）在其运营的官方网页前端中集成了 CoW Swap，并将产生的交易回扣导向了公司账户，而非 Aave DAO 库。 - **分析：** 这里的边界在于，**协议合约**属于代币持有者（链上主权），但访问协议的网站（前端）属于股权公司（私有财产）。这一冲突预示了未来的趋势：代币捕获的是“底层代码”的价值，而股权捕捉的是“用户流量与品牌”的增值。 ### 2. Uniswap：治理币与商业收费的隔离 **Uniswap Labs** 已经在其官方 App 中收取接口费，这笔钱直接归属于股权公司，而 **UNI** 代币持有者目前并不分享这部分收益。 - **分析：** Uniswap 成功实现了物理隔离。股权公司通过提供更好的用户体验（前端、App）获利，而 UNI 代币则保留了对核心协议逻辑（如未来可能的费用开关）的投票权。这清晰地界定了“软件服务归公司，金融协议归代币”的逻辑。 ### 3. GMX / Hyperliquid：真实收益的链上闭环 与上述案例不同，**GMX** 或 **Hyperliquid** 这种协议更倾向于“纯链上主权”。 - **机制：** 它们将协议产生的交易手续费（ETH 或原生稳定币）直接通过智能合约分配给代币质押者。 - **价值：** 这种模式消除了对“股权中介”的需求，代币本身就承载了协议所有的现金流。这是最纯粹的链上价值捕获模型。 --- ### 三、 如何识别“错位”的价值？ 在评估一个项目时，我们需要警惕逻辑上的错位： 1. **代币宣称拥有“链下资产所有权”：** 除非是在开曼等特定法律框架下做了极为复杂的信托映射（如某些合规 RWA 项目），否则这种承诺往往缺乏执行力。 2. **股权公司控制着“协议的核心开关”：** 如果一个项目的费率分配、资产添加完全由公司员工手动完成，而非通过代币治理多签执行，那么这个代币本质上并没有获得“主权”。 --- ### 四、 结论：重新定义你的投资坐标 未来的胜出项目，一定会清晰地划分这两者的界限：**把确定性的协议收益留给代币，把不确定的商业溢价留给股权。** - 如果你追求的是**协议逻辑**的自动化产出，你应该持有代币，并确保它拥有对链上现金流的直接捕获能力。 - 如果你看重的是**创始团队**的品牌构建和未来 IPO 的潜力，那么股权才是正确的容器。

Hype与Aster的暴击，让去中心化永续合约交易平台赛道彻底引爆 🔥 特别是 YZi Labs 投资的项目，成为市场关注焦点，比如Opinion @opinionlabsxyz 已经成为当红炸子鸡。 这次出来蛮多老师有问到我在刷哪些Perp项目， 我目前在关注且实用的 perp 交互： Aster、Lighter、Ethereal、Based、EdgeX、Extended、Apex、GRVT、StandX、VOOI 、Pacifica等。每一个项目其实都可以花满多时间讲讲的。 其中 YZi Labs 投资了 VOOI @vooi_io，最近应该快tge了，最近被问得比较多，简单写个概要： 1、VOOI确实有它的独特之处，是一个跨链聚合型超级应用，支持跨链永续合约（Perp）与现货交易。它聚合了@HyperliquidX、@OstiumLabs、@OrderlyNetwork 三大永续平台的流动性，并整聚合多个DEX， VOOI 得特点是链和账户抽象，它简化了跨受支持 DEX 的杠杆交易，使用户能够在任何受支持的网络上无缝交互，让用户能在一个统一界面完成所有交易操作。 2、VOOI 不只是一个中心化永续合约交易 Perp DEX，协议把自己定成是全链聚合交易入口，平台当前特点是 ➤支持 220+ 永续市场，覆盖 6 条 EVM 链 ➤所有抵押物统一映射为 USD 抵押资产，已支持「币股一体化」交易，可直接使用 EVM 钱包资金。 ➤凭借链抽象+ Gasless 零 Gas 模式，VOOI 可自动选择来自不同 DEX 的最佳报价与深度。 ➤无需切钱包、无需换 RPC，一键比价、跨链开单，体验丝滑。 ➤无论是加密资产、美股，还是商品合约，你都能在同一个账户下完成交易 交易量方面目前平台累计成交136亿美金，10 月份每日均$2亿交易量，看到10月 28号这天比较猛，单日永续交易量达到 3.2 亿美元，创下了新的历史新高，除此之外，每月永续合约交易量也突破 35 亿美金，属于增长较快的 Perp 聚合器，当然这一切是因为在搞「交易即挖矿」的活动。 3、VOOI 每周固定分配 2000 万积分，激励机制倡导动态分配驱动真实交易， 积分体系自 2025 年 7 月底启动，至今已运行约 15 个周期（3 个月）。未来大概率跟其他平台一样，根据积分奖励平台代币。 根据平台的说明积分获取途径 1️⃣ 回溯积分 覆盖 Hyperliquid、GMX、Aster、Satori、Vertex、KiloEx 等主流 perp 用户，只要你在这些平台有过交易记录，就能领取 VOOI 的历史奖励。 2️⃣ 永续交易与跨链 Swap 通过 VOOI 平台进行 perp 交易或跨链兑换，可持续累积积分。交易量越大，积分占比越高。 3️⃣ 协议共振积分 当你通过 VOOI 交易合作协议（如 Ostium）时，系统会同时发放 VOOI 积分 + 该协议原生积分，实现多重叠加收益。也就是说如果在vooi上交易，右上角你选择ostium的话，实际上你是能拿到2个平台的积分，Ostium是一种合成资产协议，主要做商品市场上链的平台（比如标普500/黄金）。同一交易，多重收益。 4️⃣ 生态联动：Hyperliquid 使用 VOOI 右上角你选择Hyperliquid，可同时积累 Hyperliquid 官方 $HYPE 第二季的潜在空投资格。VOOI 提供当前市场最低的 Hyperliquid 永续费率。 5️⃣ 平台活动与限时任务 VOOI 定期推出交易竞赛、空投活动、任务激励等，补充发放额外积分奖励。 三、如何参与 1、打开

《深入解读 Perp DEX 格局: Hyperliquid 为何胜利，dYdX、GMX 有什么教训？》（作者 OKX Ventures）本文系统回顾 Perp DEX 三阶段演进（dYdX/L2 验证→GMX/AMM 崛起→Hyperliquid/专用链+CLOB 统治），对比 AMM 与 CLOB 在冷启动成本、规模上限、MEV/清算与保证金效率等关键权衡。

GMX/USDT长期投资