Edgen Crypto·Dec 29 2025, 15:12区块链安全公司 Hacken 的一份报告显示,2025 年 Web3 领域损失近 40 亿美元,较上一年大幅增加。分析强调,损失的主要驱动力是运营安全不佳,而非仅仅是代码漏洞,其中与朝鲜有关的黑客组织造成了超过一半的被盗金额。
根据 Hacken 2025 年度安全报告,Web3 生态系统的总损失在 2025 年达到约 39.5 亿美元,较 2024 年大幅增加了 11 亿美元。调查结果揭示了攻击向量的关键转变,系统性运营风险现在比孤立的代码错误构成更大的威胁。尽管损失在今年第一季度达到 20 亿美元以上的高峰,随后在第四季度降至约 3.5 亿美元,但财务损失的主要来源保持一致。
访问控制失败——例如私钥泄露、员工离职程序草率以及签名协议薄弱——占所有损失的近 54%,总计 21.2 亿美元。相比之下,智能合约内部的漏洞导致了约 5.12 亿美元的损失。这些数据表明,该行业最大的安全挑战不在于代码本身,而在于管理人力资源和数字资产运营流程。
今年损失的很大一部分是由国家支持的威胁行为者造成的。与朝鲜有关的黑客集群对约 52% 的被盗资金负责。这一数字受到 Bybit 泄露事件的严重影响,该事件造成了近 15 亿美元的损失,是记录在案的最大规模的单一加密货币盗窃案。如此巨额的损失集中于单一行为者,突显出主要交易所和协议面临着有针对性且持续的威胁。
Hacken 的法医分析强调,攻击者越来越侧重于复杂的网络钓鱼活动和社交工程,以获取未经授权的访问。Hacken Extractor 法医负责人 Yehor Rudystia 指出,当局应将朝鲜的策略视为一个特定的监管关注点,强制要求实时威胁情报共享和侧重于这些攻击方法的风险评估。
安全专家认为,该行业落后于监管指导,而监管指导正日益明确地要求实施健全的安全实践。Rudystia 指出,2025 年持续存在不安全的做法,例如未能撤销离职开发人员的访问权限以及使用单一私钥管理协议。他强调,对于大型交易所而言,定期的渗透测试、事件模拟和独立审计应在 2026 年成为不可协商的要求。
Hacken 首席执行官 Yevheniia Broshevan 表示,随着监管机构从软性指导转向具有不合规惩罚的硬性要求,公司预计安全标准将得到改善。
我们认为行业有巨大的机会提升其安全基线,尤其是在采纳使用专用签名硬件和实施基本监控工具的明确协议方面。
—— Yevheniia Broshevan,Hacken 联合创始人兼首席执行官。