导语:近日,知名区块链安全机构Hacken发布的《2025年度安全报告》为整个Web3行业敲响了警钟。报告显示,2025年Web3领域因黑客攻击和漏洞造成的总损失高达惊人的39.5亿美元,较2024年激增约11亿美元。更值得警惕的是,其中超过一半的损失与朝鲜相关的威胁行为者有关。这不仅是数字的飙升,更揭示了行业在基础操作安全上的系统性风险,正倒逼全球监管从原则性指导转向强制性规则。
核心数据与观点:据报告披露,2025年的损失在第一季度达到峰值,超过20亿美元,随后在第四季度降至约3.5亿美元。然而,Hacken的分析师指出,这种波动模式指向的并非孤立的代码漏洞,而是系统性的操作风险。具体而言,访问控制失效和更广泛的操作安全崩溃造成了约21.2亿美元(占总损失的54%)的损失,而智能合约漏洞造成的损失约为5.12亿美元。其中,仅Bybit交易所近15亿美元的单一失窃案,就创下了历史记录,并成为朝鲜相关黑客组织涉案金额占比高达52%的关键原因。
市场背景与深层分析:2025年堪称Web3安全形势恶化但根源愈发清晰的一年。报告明确指出,智能合约漏洞固然重要,但最大且最难以追回的资金损失,仍然源于薄弱的私钥管理、受损的签名者以及草率的员工离职流程。Hacken Extractor的法证负责人Yehor Rudystia向媒体表示,尽管美国、欧盟等主要司法管辖区的监管框架已在纸面上明确了“良好实践”的标准,例如基于角色的访问控制、安全日志、机构级托管方案等,但“由于监管要求大多仍停留在指导原则层面,许多Web3公司在2025年全年仍在沿用不安全做法。” 这些做法包括员工离职时不及时撤销其访问权限、使用单一私钥管理协议、缺乏端点检测与响应系统等。
值得注意的是,Rudystia强调,定期的渗透测试、事件模拟演练、托管控制审查以及独立的财务与控制审计至关重要,大型交易所和托管机构在2026年应将这些视为不可妥协的底线。Hacken联合创始人兼CEO Yevheniia Broshevan也指出,行业在提升安全基线方面存在巨大机会,尤其是在采用专用签名硬件协议和实施必要的监控工具方面。
结尾预测与行业展望:鉴于朝鲜相关黑客集群造成了约一半的损失,Rudystia认为,监管机构和执法部门需要将针对该国的攻击手法视为特定的监管关切点。他建议当局应强制要求实时共享涉及朝鲜的威胁情报,并要求进行针对钓鱼攻击等特定风险的评估。展望2026年,随着全球监管机构从发布指导转向制定硬性要求,行业安全门槛必将进一步提高。投资者应关注那些能主动拥抱最严格安全标准、建立完善风控体系的平台。Hacken预计,在监管要求和行业自律的双重驱动下,整体安全状况有望在2026年得到改善,但这要求整个行业将安全从“可选成本”转变为“生存基石”。
