导语:近日,知名区块链安全机构Hacken发布的《2025年度安全报告》为整个Web3行业敲响了警钟。报告显示,过去一年Web3领域因攻击和漏洞造成的总损失飙升至近40亿美元,其中超过一半的损失与朝鲜相关的威胁行为者有关。这一数据不仅揭示了行业面临的严峻安全挑战,更将监管压力与内部操作风险推至聚光灯下。
核心数据显示,2025年Web3总损失约为39.5亿美元,较2024年大幅增加了约11亿美元。值得注意的是,其中高达52%的被盗资金被归因于与朝鲜有关的黑客组织。损失在第一季度达到顶峰,超过20亿美元,尽管在第四季度下降至约3.5亿美元,但Hacken警告称,这种模式指向的是系统性的运营风险,而非孤立的代码漏洞。
从市场背景分析,2025年的安全态势呈现出从“技术漏洞”向“人为与操作失误”转移的清晰趋势。报告指出,智能合约漏洞造成的损失约为5.12亿美元,而访问控制失效和更广泛的运营安全崩溃造成的损失高达21.2亿美元,占全年总损失的近54%。这凸显了私钥管理、签名器安全及人员离职流程等“软肋”已成为黑客的主要突破口。其中,Bybit交易所遭受的近15亿美元损失,被描述为有记录以来最大的单次盗窃案,也是朝鲜相关黑客占比如此之高的关键原因。
分析师指出,尽管美国、欧盟等主要司法管辖区的监管框架正逐步明确“良好实践”的标准,例如基于角色的访问控制、安全日志记录、机构级托管方案以及持续监控等,但在2025年,许多Web3公司仍延续了不安全操作。这些操作包括在员工离职时未及时撤销其访问权限、使用单一私钥管理协议、以及缺乏端点检测与响应系统等。
展望未来,行业专家预测,随着监管机构从发布指导方针转向制定硬性要求,安全门槛将被进一步抬高。Hacken联合创始人兼CEO表示,行业在采用专用签名硬件协议和实施必要监控工具方面,存在显著提升安全基准的机会。投资者应关注那些将定期渗透测试、事件模拟、托管控制审查以及独立财务审计视为不可协商标准的平台。鉴于朝鲜威胁的严重性,监管与执法部门也需将其攻击模式视为特定的监管重点,强制要求实时威胁情报共享,并辅以相应的分级处罚措施。可以预见,2026年,合规与顶级安全标准的强制执行,将成为保护用户资产、重塑行业信任的关键驱动力。
