Hacken 的報告顯示,Web3 的損失在 2025 年達到 39.5 億鎂,比上一年上漲了11 億鎂,其中 52% 的損失是由朝鮮行為者造成的,關鍵安全漏洞的數量超過了源代碼漏洞。
根據Hacken發佈的2025年度安全報告, Web3行業經歷了動盪的一年,網絡攻擊和安全漏洞造成的總損失接近40億鎂。這一數字較2024年標記著上漲,其中超過一半的損失歸因於與朝鮮有關聯的威脅行為者。
CointelegraphChia的報告顯示,損失在今年第一季度達到峰值,超過 20 億鎂,然後在第四季度下降約 3.5 億鎂,但 Hacken 警告說,這種趨勢反映的是系統性運營風險,而不是孤立的代碼錯誤。
報告中最引人注目的發現是損失來源發生了顯著變化。與訪問控制故障和運營安全漏洞相關的事件造成的損失約為21.2億鎂,相當於2025年總損失的近54%,而智能合約漏洞造成的損失僅約為5.12億鎂。
Bybit被黑客攻擊,涉案金額近 15 億鎂,被認為是史上最大的單筆盜竊案,其中與朝鮮有關的組織約佔所有被盜資金的 52%。
Hacken 將 2025 年描述為“數字變得更糟,但背後的故事變得清晰”的一年,點擊,雖然智能合約缺陷很重要,但最大且最難挽回的損失仍然來自弱密鑰、被入侵的簽名者和粗心的訪問權限發佈流程。
法規與執行之間的差距仍然過大。
Hacken Extractor 的取證主管 Yehor Rudystia 表示,美國、歐盟和其他主要司法管轄區的監管機構正在越來越多地規定安全標準,例如基於Vai的訪問控制、日誌記錄、安全接收程序、具有基於硬件或多重簽名安全模型的機構級保管,以及持續監控和異常檢測。
然而,他指出,雖然新的治理要求才剛剛成為強制性要求,但許多 Web3 公司在 2025 年仍將繼續推行不安全的做法,例如在開發人員離開公司時不撤銷其訪問權限、使用單個私鑰來管理協議以及不實施端點檢測和響應系統。
Hacken聯合聯創兼首席執行官葉夫根尼婭·布羅舍萬(Yevheniia Broshevan)認為,業界在提升安全基線方面擁有巨大機遇,尤其是在採用明確的流程來規範專用簽名硬件和必要的監控工具方面。她預計,隨著監管機構從指導性建議轉向強制性要求,整體安全狀況將在2026年得到改善。
魯迪斯蒂亞認為,監管機構需要強制要求實時Chia與朝鮮相關的威脅情報指標,要求進行以網絡釣魚攻擊為重點的風險評估,並對不合規行為施加上漲的處罰,以及為那些維護專門防禦朝鮮威脅的平臺建立安全機制。
