导语:近日,知名安全机构Hacken发布《2025年度安全报告》,向Web3行业投下了一枚重磅炸弹。报告显示,2025年Web3领域因黑客攻击和漏洞造成的总损失高达约39.5亿美元,较2024年激增约11亿美元。更令人震惊的是,其中超过一半的损失被归咎于与朝鲜有关的威胁行为者。这不仅敲响了行业安全的警钟,也预示着全球监管环境将迎来剧变。
核心数据揭示安全困局
据市场分析,Hacken报告勾勒出一幅严峻的安全图景。全年损失在第一季度达到顶峰,超过20亿美元,随后在第四季度降至约3.5亿美元。然而,分析师指出,这种波动模式指向的是系统性的运营风险,而非孤立的代码漏洞。报告明确指出,智能合约漏洞固然重要,但最大且最难以挽回的损失,仍然源于薄弱的密钥管理、签名器被攻破以及草率的离职流程。具体来看,访问控制失效和更广泛的运营安全崩溃造成了约21.2亿美元的损失,占2025年总损失的近54%,而智能合约漏洞造成的损失约为5.12亿美元。
市场背景:监管压力下的安全“软肋”
值得注意的是,尽管美国、欧盟等主要司法管辖区的监管框架正日益明确何为“良好实践”,例如基于角色的访问控制、安全日志、机构级托管方案等,但Hacken法证部门负责人Yehor Rudystia指出,由于这些监管要求大多仍停留在指导原则层面,许多Web3公司在整个2025年仍在沿用不安全的做法。这包括在员工离职时不及时撤销其访问权限、使用单一私钥管理协议、以及缺乏端点检测与响应系统等。尤其值得关注的是,Bybit交易所遭遇的近15亿美元巨额失窃案,不仅是史上最大单笔盗窃案,也是朝鲜相关黑客组织窃取资金约占总额52%的关键原因。
未来预测:强监管与高标准成必然趋势
面对如此严峻的安全形势,行业变革势在必行。Hacken联合创始人兼CEO Yevheniia Broshevan认为,这为行业提升安全基线带来了重大机遇,特别是在采用专用签名硬件和部署必要监控工具方面。分析师普遍预计,随着监管机构从发布指导转向制定硬性要求,行业安全门槛将在2026年进一步提高。投资者应关注那些将定期渗透测试、事件模拟、托管控制审查以及独立财务与控制审计视为不可或缺环节的大型交易所和托管机构。鉴于朝鲜黑客造成的巨大破坏,监管和执法部门也需要将其攻击模式视为特定的监管重点,强制要求实时共享威胁情报,并进行针对性的风险评估。可以预见,2026年将是Web3安全从“建议”走向“强制”,从“被动防御”转向“主动合规”的关键一年。
