导语:据区块链安全机构Hacken最新发布的《2025年度安全报告》显示,Web3领域在过去一年中遭受了前所未有的安全冲击,总损失金额高达近40亿美元,较2024年激增约11亿美元。值得注意的是,其中超过一半的损失被归因于与朝鲜相关的威胁行为者。这份报告不仅揭示了惊人的数字,更指出了一个关键转变:行业面临的最大风险已从智能合约漏洞,转向了系统性的运营安全与密钥管理薄弱环节。
核心数据与观点:报告详细指出,2025年Web3领域的损失总额约为39.5亿美元。其中,访问控制失效和广义的运营安全漏洞导致了约21.2亿美元的损失,占总损失的近54%。相比之下,由智能合约漏洞造成的损失约为5.12亿美元,占比显著更低。尤其引人注目的是,仅Bybit交易所的单一漏洞事件就造成了近15亿美元的损失,成为有记录以来最大的单次盗窃案,这也是朝鲜相关黑客组织能够占据总被盗资金约52%份额的关键原因。
市场背景与深层分析:分析师指出,2025年的损失在年初达到顶峰,第一季度超过20亿美元,随后在第四季度下降至约3.5亿美元。然而,Hacken警告称,这种模式指向的是系统性的运营风险,而非孤立的代码错误。Hacken Extractor的法证负责人Yehor Rudystia向媒体表示,尽管美国、欧盟等主要司法管辖区的监管框架已在纸面上明确了“良好实践”的标准,例如基于角色的访问控制、安全日志记录、机构级托管方案以及持续监控等,但现实情况是,许多Web3公司在2025年仍在沿用不安全的做法。
这些不安全的做法包括:在员工离职时未及时撤销其系统访问权限、使用单一私钥管理整个协议、以及缺乏端点检测与响应系统等。Rudystia强调,对于大型交易所和托管机构而言,定期的渗透测试、事件模拟演练、托管控制审查以及独立的财务和控制审计,在2026年应成为不可妥协的强制要求。
结尾预测与行业展望:随着监管压力从指导原则转向硬性要求,行业的安全门槛预计将被进一步提高。Hacken的联合创始人兼CEO Yevheniia Broshevan认为,行业在提升安全基线方面存在巨大机遇,特别是在采用专用签名硬件协议和实施必要的监控工具方面。鉴于朝鲜相关黑客集群造成了约一半的损失,Rudystia指出,监管机构和执法部门也需要将朝鲜的攻击模式视为一个特定的监管关注点,强制要求实时共享威胁情报,并进行有针对性的风险评估。投资者应关注,2026年或将成为Web3安全合规的分水岭,那些主动拥抱最高安全标准、强化内部运营控制的项目与平台,将更有可能赢得市场信任并穿越周期。
