Hacken 2025年度安全报告显示,Web3总损失约为39.5亿美元,比2024年增加11亿美元,其中超过一半归因于朝鲜地区威胁行为者。
该报告与Cointelegraph共享表明,第一季度损失高峰超过20亿美元,到第四季度降至约3.5亿美元,但Hacken警告指出,这种模式仍然指向系统性运营风险,而非孤立的编码漏洞。
报告将2025年描述为数据恶化但根本问题更加明晰的一年。智能合约漏洞固然重要,但最大、最难恢复的损失仍源自薄弱的密钥、被入侵的签名者和草率的离职处理流程。
访问控制而非代码导致主要损失
据Hacken分析,访问控制失败和更广泛的运营安全漏洞造成了约21.2亿美元的损失,占2025年全部损失的近54%,而智能合约漏洞造成的损失约为5.12亿美元。
Hacken描述称,单是Bybit的数据泄露就造成近15亿美元的损失,是有记录以来最大的单一盗窃事件,也是朝鲜地区相关集团占盗窃资金总额52%的主要原因。
监管机构明确控制措施,行业仍在滞后
Hacken Extractor的法证主管Yehor Rudystia向Cointelegraph表示,美国、欧盟和其他主要司法管辖区的监管机构在许可制度中越来越明确地规定了理论上的"良好"实践,如基于角色的访问控制、日志记录、安全入职和身份验证、机构级别的托管(硬件安全模型、多方计算或多重签名,以及冷存储),以及持续监控和异常检测。
然而,"由于监管要求仅逐步成为强制性原则,许多Web3公司在整个2025年继续遵循不安全的做法,"Rudystia指出。
他提到一些问题做法,如在员工离职期间不撤销开发者访问权限,使用单一私钥管理协议,以及缺乏端点检测和响应系统。
"最重要的措施包括定期渗透测试、事件模拟、托管控制审查以及独立的财务和控制审计,"Rudystia强调,并补充道,大型交易所和托管机构应将这些视为2026年不可妥协的基本要素。
从软指导到硬性要求
Hacken预计,随着监管机构从指导性建议转向强制性要求,行业安全标准将进一步提高。
Hacken联合创始人兼首席执行官Yevheniia Broshevan在接受Cointelegraph采访时指出:"我们看到行业有显著机会提升其安全基准,尤其是在采用明确的专用签名硬件协议和实施必要监控工具方面。"
她预测,到2026年,随着监管要求的实施和"最高安全标准"的强制执行,整体安全性将得到显著改善,从而更好地保护用户资金。
考虑到Hacken报告中约半数损失由朝鲜相关组织造成的事实,Rudystia表示,监管机构和执法部门需要将该国的攻击策略作为特定监管重点对待。
他强调,当局应当强制要求实时共享有关朝鲜威胁指标的情报,要求进行针对钓鱼主导型访问攻击的特定威胁风险评估,并将这些措施与"针对不合规行为的分级处罚机制"相结合,同时为全面参与并维持针对朝鲜特定防御措施的平台提供安全港保护。
