Hacken 的报告显示,Web3 的损失在 2025 年达到 39.5 亿镁,比上一年上涨了11 亿镁,其中 52% 的损失是由朝鲜行为者造成的,关键安全漏洞的数量超过了源代码漏洞。
根据Hacken发布的2025年度安全报告, Web3行业经历了动荡的一年,网络攻击和安全漏洞造成的总损失接近40亿镁。这一数字较2024年标记著上涨,其中超过一半的损失归因于与朝鲜有关联的威胁行为者。
CointelegraphChia的报告显示,损失在今年第一季度达到峰值,超过 20 亿镁,然后在第四季度下降约 3.5 亿镁,但 Hacken 警告说,这种趋势反映的是系统性运营风险,而不是孤立的代码错误。
报告中最引人注目的发现是损失来源发生了显著变化。与访问控制故障和运营安全漏洞相关的事件造成的损失约为21.2亿镁,相当于2025年总损失的近54%,而智能合约漏洞造成的损失仅约为5.12亿镁。
Bybit被黑客攻击,涉案金额近 15 亿镁,被认为是史上最大的单笔盗窃案,其中与朝鲜有关的组织约占所有被盗资金的 52%。
Hacken 将 2025 年描述为“数字变得更糟,但背后的故事变得清晰”的一年,点击,虽然智能合约缺陷很重要,但最大且最难挽回的损失仍然来自弱密钥、被入侵的签名者和粗心的访问权限发布流程。
法规与执行之间的差距仍然过大。
Hacken Extractor 的取证主管 Yehor Rudystia 表示,美国、欧盟和其他主要司法管辖区的监管机构正在越来越多地规定安全标准,例如基于Vai的访问控制、日志记录、安全接收程序、具有基于硬件或多重签名安全模型的机构级保管,以及持续监控和异常检测。
然而,他指出,虽然新的治理要求才刚刚成为强制性要求,但许多 Web3 公司在 2025 年仍将继续推行不安全的做法,例如在开发人员离开公司时不撤销其访问权限、使用单个私钥来管理协议以及不实施端点检测和响应系统。
Hacken联合联创兼首席执行官叶夫根尼娅·布罗舍万(Yevheniia Broshevan)认为,业界在提升安全基线方面拥有巨大机遇,尤其是在采用明确的流程来规范专用签名硬件和必要的监控工具方面。她预计,随着监管机构从指导性建议转向强制性要求,整体安全状况将在2026年得到改善。
鲁迪斯蒂亚认为,监管机构需要强制要求实时Chia与朝鲜相关的威胁情报指标,要求进行以网络钓鱼攻击为重点的风险评估,并对不合规行为施加上涨的处罚,以及为那些维护专门防御朝鲜威胁的平台建立安全机制。
