导语:近日,区块链安全机构Hacken发布的《2025年度安全报告》为整个Web3行业敲响了警钟。报告显示,过去一年该领域因黑客攻击造成的损失总额高达惊人的39.5亿美元,较2024年暴增约11亿美元。值得注意的是,其中超过一半的损失被归因于与朝鲜相关的威胁行为者,凸显出地缘政治因素已深度渗透至加密安全领域。
核心观点与数据:报告指出,2025年的损失呈现出鲜明的结构性特征。尽管智能合约漏洞造成的损失约为5.12亿美元,但真正的大头来自于访问控制失效和更广泛的操作安全崩溃,这部分损失总计约21.2亿美元,占全年总损失的近54%。其中,Bybit交易所遭受的近15亿美元巨额盗窃案,不仅是史上最大的单次盗窃案,也直接导致与朝鲜相关的黑客组织窃取了约52%的被盗资金。
市场背景分析:2025年的损失并非均匀分布,数据显示损失在第一季度达到超过20亿美元的峰值,随后在第四季度降至约3.5亿美元。然而,分析师指出,这种波动模式并非偶然,它指向了系统性的操作风险,而非孤立的代码漏洞。Hacken的法证部门负责人耶霍尔·鲁迪斯蒂亚向媒体表示,尽管美国、欧盟等主要司法管辖区的监管框架在纸面上日益明确,例如要求基于角色的访问控制、安全登录、机构级托管解决方案等,但许多Web3公司在2025年仍在沿用不安全做法。
这些不安全实践包括:在员工离职时未及时撤销开发者访问权限、使用单一私钥管理协议、以及缺乏端点检测与响应系统。鲁迪斯蒂亚强调,对于大型交易所和托管机构而言,定期的渗透测试、事件模拟、托管控制审查以及独立的财务与控制审计应被视为2026年不可妥协的底线要求。
结尾预测:展望未来,Hacken预计随着全球监管机构从发布指导方针转向强制执行硬性要求,行业的安全门槛将被进一步提高。Hacken联合创始人兼首席执行官叶夫根尼娅·布罗舍万认为,行业在提升安全基线方面存在重大机遇,特别是在采用专用签名硬件协议和实施必要的监控工具方面。鉴于朝鲜相关组织造成了约一半的损失,鲁迪斯蒂亚呼吁监管机构和执法部门需将其攻击模式视为特定的监管重点,强制要求进行实时威胁情报共享,并实施针对性的风险评估。投资者应关注,2026年,合规与安全能力将成为Web3项目能否在激烈竞争中存活并赢得用户信任的关键分水岭。
