导语:据知名安全机构Hacken最新发布的《2025年度安全报告》显示,过去一年Web3世界因黑客攻击和内部漏洞造成的总损失高达约39.5亿美元,较2024年激增约11亿美元。值得注意的是,其中超过一半的损失被归因于与朝鲜有关的威胁行为者,而私钥管理不善、访问控制失效等“人为”和操作风险,已取代单纯的智能合约漏洞,成为资金损失的最大元凶。
核心观点与数据
报告指出,2025年Web3领域的安全形势急剧恶化。全年损失中,高达约21.2亿美元(占总损失的近54%)源于访问控制失效和广泛的操作安全崩溃。相比之下,由智能合约漏洞直接造成的损失约为5.12亿美元。这揭示了当前行业安全的核心矛盾:技术代码的“硬”缺陷正在让位于管理、流程和人为疏忽的“软”肋。
其中,Bybit交易所遭到的近15亿美元巨额盗窃案,被记录为有史以来最大的单次盗窃事件,这也是朝鲜相关黑客组织能够占据约52%总被盗资金的关键原因。报告数据显示,损失在2025年第一季度达到超过20亿美元的峰值,随后在第四季度降至约3.5亿美元。但分析师指出,这种波动模式指向的是系统性的操作风险,而非孤立的代码错误。
市场背景与深层分析
尽管全球主要司法管辖区(如美国、欧盟)的监管框架已开始明确“良好安全实践”的纸上标准,例如基于角色的访问控制、安全审计、机构级托管方案(硬件安全模块、多方计算、冷存储)以及持续监控等,但Hacken Extractor的法证主管Yehor Rudystia向媒体透露,“由于监管要求大多仍停留在指导原则层面,许多Web3公司在整个2025年仍在延续不安全做法。”
这些危险做法包括:在员工离职时不撤销其开发访问权限、使用单一私钥管理整个协议、以及缺乏端点检测与响应系统等。Rudystia强调,对于大型交易所和托管机构而言,定期的渗透测试、事件模拟演练、托管控制审查以及独立的财务与控制审计,在2026年应成为不容妥协的底线要求。
鉴于朝鲜黑客组织造成了约一半的损失,报告进一步呼吁,监管和执法机构需将其攻击模式视为特定的监管关注点,强制要求实时共享相关威胁情报,并实施针对性的风险评估。
结尾预测与行业展望
面对严峻挑战,行业也孕育着变革的契机。Hacken联合创始人兼CEO Yevheniia Broshevan表示,“我们看到了行业提升安全基线的重大机遇,特别是在采用明确的专用签名硬件使用协议和实施必要的监控工具方面。”随着全球监管机构正从发布指导转向制定硬性要求,安全门槛预计将进一步提高。
投资者应关注那些将安全合规置于核心、并积极采纳最高安全标准的项目与平台。分析师预计,在更严格的监管要求和行业自律的双重推动下,2026年Web3的整体安全状况有望得到改善。然而,这场与黑客,尤其是国家级威胁行为者的攻防战,仍将是决定行业能否健康、规模化发展的关键战役。
