导语: 近日,知名安全机构Hacken发布的《2025年度安全报告》为整个Web3行业敲响了警钟。报告显示,2025年Web3领域因黑客攻击和漏洞造成的总损失高达近40亿美元,较2024年激增约11亿美元。更令人震惊的是,其中超过一半的损失被归因于与朝鲜相关的威胁行为者。这一数据不仅揭示了行业面临的严峻安全挑战,也预示着强监管时代即将来临。
核心数据揭示行业阵痛:操作安全是最大短板
根据Hacken分享给Cointelegraph的报告,2025年的损失在第一季度达到顶峰,超过20亿美元,随后在第四季度降至约3.5亿美元。然而,Hacken警告称,这种模式指向的是系统性的操作风险,而非孤立的代码漏洞。报告明确指出,智能合约漏洞固然重要,但最大且最难以挽回的损失,仍然源于薄弱的密钥管理、受损的签名者以及草率的离职流程。
值得注意的是,访问控制失败和更广泛的操作安全崩溃,在2025年造成了约21.2亿美元的损失,占总损失的近54%。相比之下,智能合约漏洞造成的损失约为5.12亿美元。其中,仅Bybit交易所近15亿美元的巨额失窃案,就被描述为有记录以来最大的单次盗窃案,这也是朝鲜相关黑客组织能够占据总被盗资金约52%的关键原因。
市场背景分析:监管要求与行业实践的脱节
Hacken Extractor法证部门负责人Yehor Rudystia指出,美国、欧盟等主要司法管辖区的监管制度,已在书面上明确了“良好实践”的标准,例如基于角色的访问控制、安全日志记录、安全的入职与身份验证、机构级托管方案(硬件安全模块、多方计算、多重签名和冷存储),以及持续监控和异常检测。
然而,现实情况是,由于监管要求大多仍停留在指导原则层面,许多Web3公司在2025年仍在沿用不安全的管理实践。 这些实践包括:在员工离职时未及时撤销其访问权限、使用单一私钥管理整个协议、以及缺乏端点检测与响应系统等。
Rudystia强调,定期的渗透测试、事件模拟演练、托管控制审查以及独立的财务与控制审计至关重要。他建议,大型交易所和托管机构应在2026年将这些措施视为不可妥协的底线要求。
结尾预测:2026年,从“软指导”到“硬规则”的转折之年
随着监管机构从发布指导方针转向制定强制性要求,行业的安全门槛预计将被进一步抬高。Hacken联合创始人兼CEO Yevheniia Broshevan表示,她看到了行业提升安全基准的重大机遇,尤其是在采用明确的专用签名硬件使用协议和实施必要的监控工具方面。
鉴于朝鲜相关黑客组织造成了约一半的损失,Rudystia认为,监管机构和执法部门也需要将朝鲜的攻击手段视为一个特定的监管关注点。他主张,当局应强制要求实时共享关于朝鲜攻击手法的威胁情报,并要求进行针对钓鱼攻击等特定威胁的风险评估,并辅以“对不合规行为的渐进式处罚”。
投资者应关注,随着监管压力从“纸面”走向“现实”,那些在操作安全、合规审计和威胁应对方面提前布局、建立坚固防线的Web3项目与平台,将更有可能在下一轮行业洗牌中赢得信任,脱颖而出。 2026年,或将成为Web3安全从被动补救走向主动防御的关键分水岭。
