导语:2025年,Web3世界在蓬勃发展的同时,也经历了安全领域的至暗时刻。据知名安全机构Hacken发布的最新年度报告,行业全年损失高达近40亿美元,较2024年激增超10亿美元。更令人触目惊心的是,其中超过一半的损失被归因于与朝鲜有关的威胁行为者。这份报告不仅揭示了惊人的数据,更指出了一个根本性的转变:智能合约漏洞已非最大威胁,操作安全与密钥管理的系统性风险正成为行业阿喀琉斯之踵。
核心观点与数据:Hacken报告显示,2025年Web3领域总损失约为39.5亿美元。其中,因访问控制失效和广义操作安全漏洞造成的损失约为21.2亿美元,占总额的近54%。相比之下,由智能合约漏洞直接造成的损失约为5.12亿美元。报告特别指出,仅Bybit交易所近15亿美元的单一被盗事件,就创下了历史记录,并直接导致与朝鲜相关的黑客组织窃取了约占总损失52%的资金。
市场背景与深度分析:值得注意的是,损失在2025年第一季度达到顶峰,超过20亿美元,随后在第四季度降至约3.5亿美元。然而,Hacken警告称,这种波动模式指向的是系统性的操作风险,而非孤立的代码错误。Hacken Extractor法证部门负责人Yehor Rudystia向媒体指出,尽管美国、欧盟等主要司法管辖区的监管框架已在纸面上明确了“良好实践”的标准,如基于角色的访问控制、安全审计、机构级托管方案等,但许多Web3公司在2025年仍延续着不安全的做法。这些做法包括:员工离职时不及时撤销其访问权限、使用单一私钥管理协议、缺乏终端检测与响应系统等。
未来预测与行业建议:面对严峻形势,行业专家对未来提出了明确展望与建议。分析师指出,随着监管机构从发布指导方针转向制定硬性要求,安全门槛将在2026年进一步提高。Hacken联合创始人兼CEO Yevheniia Broshevan认为,行业在提升安全基线方面存在巨大机会,特别是在采用专用签名硬件协议和实施必要的监控工具方面。投资者应关注,定期的渗透测试、事件模拟演练、托管控制审查以及独立的财务与控制审计,将成为大型交易所和托管机构在2026年不可妥协的标配。鉴于朝鲜相关黑客活动造成了约一半的损失,监管机构和执法部门也需要将其攻击模式视为特定的监管重点,强制要求实时共享威胁情报,并实施针对性的风险评估。
