导语:近日,知名安全机构Hacken发布的《2025年度安全报告》为蓬勃发展的Web3行业投下一枚震撼弹。报告显示,2025年Web3领域因黑客攻击和安全漏洞造成的总损失飙升至近40亿美元,同比大幅增长。更令人震惊的是,超过一半的损失被归因于与朝鲜有关的威胁行为者。这一数据不仅揭示了行业面临的严峻安全挑战,也预示着强监管时代正加速到来。
核心数据触目惊心:损失近40亿,操作安全成最大短板
据Hacken报告披露,2025年Web3领域的总损失约为39.5亿美元,较2024年增加了约11亿美元。其中,访问控制失效和更广泛的操作安全漏洞造成的损失高达21.2亿美元,占总损失的近54%。相比之下,由智能合约漏洞直接导致的损失约为5.12亿美元。值得注意的是,仅Bybit交易所一次高达近15亿美元的失窃案,就创下了有记录以来最大的单次盗窃案,并是朝鲜关联黑客组织资金占比高达52%的关键原因。
市场背景分析:从“代码漏洞”到“人为疏忽”,安全范式正在转变
报告将2025年描述为“数字恶化但根源清晰”的一年。虽然智能合约漏洞依然存在,但最大且最难以追回的损失,正越来越多地源于薄弱的密钥管理、受损的签名者以及草率的离职流程等操作层面的问题。Hacken法证部门负责人Yehor Rudystia向媒体指出,尽管美国、欧盟等主要司法管辖区的监管框架已在纸面上明确了“良好实践”的标准——如基于角色的访问控制、安全日志、安全的入职与身份验证、机构级托管方案(硬件安全模块、多方计算、多签及冷存储)以及持续监控和异常检测——但现实情况却不容乐观。
分析师指出,“由于监管要求大多仍停留在指导原则层面,许多Web3公司在整个2025年仍在延续不安全的做法。” 这些做法包括:员工离职时不及时撤销其系统访问权限、使用单一私钥管理整个协议、以及缺乏终端检测与响应系统等。
行业预测与出路:2026年,合规与安全标准将全面提升
面对系统性风险,行业专家一致认为,提升安全基线已刻不容缓。Hacken联合创始人兼CEO Yevheniia Broshevan表示,行业在采用专用签名硬件协议和实施必要的监控工具方面存在巨大的提升空间。Rudystia则强调,定期的渗透测试、事件模拟演练、托管控制审查以及独立的财务与控制审计,对于大型交易所和托管机构而言,应在2026年成为“不容谈判”的标配。
投资者应关注的是,监管机构正从发布指导性意见转向制定硬性规定,行业安全门槛将被进一步抬高。鉴于朝鲜相关黑客组织造成了约一半的损失,报告也呼吁监管和执法部门将其攻击模式视为特定的监管关切点,强制要求实时共享相关威胁情报,并实施针对性的风险评估。可以预见,2026年将成为Web3行业安全合规的分水岭,那些提前拥抱最高安全标准、将安全内化为核心运营能力的项目与平台,将在新一轮行业洗牌中赢得用户信任与市场先机。
