Edgen Crypto·Dec 29 2025, 15:12區塊鏈安全公司 Hacken 的一份報告顯示,2025 年 Web3 領域損失近 40 億美元,較上一年大幅增加。分析強調,損失的主要驅動力是營運安全不佳,而非僅僅是程式碼漏洞,其中與朝鮮有關的駭客組織造成了超過一半的被盜金額。
根據 Hacken 2025 年度安全報告,Web3 生態系統的總損失在 2025 年達到約 39.5 億美元,較 2024 年大幅增加了 11 億美元。調查結果揭示了攻擊向量的關鍵轉變,系統性營運風險現在比孤立的程式碼錯誤構成更大的威脅。儘管損失在今年第一季度達到 20 億美元以上的高峰,隨後在第四季度降至約 3.5 億美元,但財務損失的主要來源保持一致。
存取控制失敗——例如私鑰洩露、員工離職程序草率以及簽名協議薄弱——佔所有損失的近 54%,總計 21.2 億美元。相比之下,智能合約內部的漏洞導致了約 5.12 億美元的損失。這些數據表明,該行業最大的安全挑戰不在於程式碼本身,而在于管理人力資源和數字資產營運流程。
今年損失的很大一部分是由國家支持的威脅行為者造成的。與朝鮮有關的駭客集群對約 52% 的被盜資金負責。這一數字受到 Bybit 洩露事件的嚴重影響,該事件造成了近 15 億美元的損失,是記錄在案的最大規模的單一加密貨幣竊盜案。如此巨額的損失集中於單一行為者,突顯出主要交易所和協議面臨著有針對性且持續的威脅。
Hacken 的法醫分析強調,攻擊者越來越側重於複雜的網路釣魚活動和社交工程,以獲取未經授權的存取。Hacken Extractor 法醫負責人 Yehor Rudystia 指出,當局應將朝鮮的策略視為一個特定的監管關注點,強制要求即時威脅情報共享和側重於這些攻擊方法的風險評估。
安全專家認為,該行業落後於監管指導,而監管指導正日益明確地要求實施健全的安全實踐。Rudystia 指出,2025 年持續存在不安全的做法,例如未能撤銷離職開發人員的存取權限以及使用單一私鑰管理協議。他強調,對於大型交易所而言,定期的滲透測試、事件模擬和獨立審計應在 2026 年成為不可協商的要求。
Hacken 首席執行官 Yevheniia Broshevan 表示,隨著監管機構從軟性指導轉向具有不合規懲罰的硬性要求,公司預計安全標準將得到改善。
我們認為行業有巨大的機會提升其安全基線,尤其是在採納使用專用簽名硬體和實施基本監控工具的明確協議方面。
—— Yevheniia Broshevan,Hacken 聯合創始人兼首席執行官。