导语:据区块链安全机构Hacken最新发布的《2025年度安全报告》显示,Web3领域在过去一年损失惨重,总额飙升至近40亿美元,较2024年激增约11亿美元。更令人震惊的是,其中超过一半的损失被归因于朝鲜相关的威胁行为者。这份报告不仅揭示了惊人的数据,更将矛头指向了行业长期存在的系统性运营风险,而非简单的智能合约漏洞。
核心数据与观点:报告明确指出,2025年Web3总损失约为39.5亿美元。其中,访问控制失效和更广泛的运营安全崩溃造成的损失高达21.2亿美元,占总损失的近54%。相比之下,智能合约漏洞导致的损失约为5.12亿美元。Hacken Extractor法证部门负责人Yehor Rudystia向媒体指出,“智能合约漏洞固然重要,但最大、最难以挽回的损失仍然来自薄弱的密钥管理、受损的签名者以及草率的离职流程。”
市场背景与深度分析:报告详细描绘了2025年的损失曲线:第一季度损失峰值超过20亿美元,到第四季度降至约3.5亿美元。然而,Hacken警告称,这种模式指向的是系统性的运营风险,而非孤立的代码错误。一个突出的案例是Bybit交易所遭受的近15亿美元的黑客攻击,这被描述为有记录以来最大的单次盗窃事件,也是朝鲜相关黑客组织窃取资金占总损失约52%的关键原因。
值得注意的是,尽管美国、欧盟等主要司法管辖区的监管框架在纸面上日益明确“良好实践”的标准——例如基于角色的访问控制、安全日志、安全入职与身份验证、机构级托管方案(硬件安全模块、多方计算、多签和冷存储)以及持续监控和异常检测——但现实情况却不容乐观。Rudystia表示,“由于监管要求仅正在成为强制性原则,许多Web3公司在整个2025年仍在继续遵循不安全的做法。” 这些做法包括在员工离职时不撤销开发人员的访问权限、使用单个私钥管理协议以及未部署端点检测与响应系统。
投资者应关注的是,报告为行业提出了明确的改进路径。Rudystia强调,“其中最重要的是定期的渗透测试、事件模拟、托管控制审查以及独立的财务和控制审计。” 他认为,大型交易所和托管机构在2026年应将这些措施视为不可协商的底线要求。
结尾预测与行业展望:面对严峻的安全形势,监管压力正在升级。Hacken预计,随着监管机构从发布指导方针转向制定硬性要求,行业安全门槛将被进一步提高。Hacken联合创始人兼首席执行官Yevheniia Broshevan表示,“我们看到行业在提升安全基线方面存在重大机遇,特别是在采用明确的专用签名硬件使用协议和实施必要的监控工具方面。” 他预计,随着监管要求和“最安全标准”的强制实施,2026年的整体安全状况将得到改善。
此外,鉴于朝鲜相关黑客组织造成了约一半的损失,Rudystia指出,监管机构和执法部门也需要将该国的攻击手法视为一个特定的监管关切点。他主张,当局应强制要求实时共享关于朝鲜攻击指标的情报,并要求进行针对以钓鱼为首的访问攻击的专项风险评估,并辅以“对不合规行为的渐进式处罚”。可以预见,2026年将是Web3安全从“软指导”走向“硬约束”的关键一年,合规与技术创新将共同塑造更安全的行业未来。
