2025年,Web3世界在动荡中前行。据知名区块链安全机构Hacken发布的年度报告显示,过去一年Web3领域因黑客攻击和安全漏洞造成的总损失高达约39.5亿美元,较2024年激增约11亿美元。值得注意的是,其中超过一半的损失被归因于与朝鲜相关的威胁行为者,而访问控制失效等操作安全问题取代了智能合约漏洞,成为资金流失的最主要“黑洞”。这份报告不仅是一串触目惊心的数字,更为整个行业敲响了安全警钟。
核心数据显示,2025年Web3安全形势急剧恶化。全年损失总额约39.5亿美元,其中第一季度损失峰值超过20亿美元。尽管第四季度损失额下降至约3.5亿美元,但Hacken警告称,这种模式指向的是系统性的操作风险,而非孤立的代码缺陷。具体来看,因访问控制失效和更广泛的操作安全崩溃造成的损失约为21.2亿美元,占全年总损失的近54%,而智能合约漏洞导致的损失约为5.12亿美元。尤其令人震惊的是,仅Bybit一次安全事件就造成了近15亿美元的损失,这被描述为有记录以来最大的单次盗窃案,也是朝鲜相关黑客组织能够占据约52%总被盗资金的关键原因。
市场背景:监管要求与安全实践的“脱节”
尽管全球监管压力日益增大,但安全实践并未同步跟上。Hacken Extractor法证部门负责人指出,美国、欧盟等主要司法管辖区的监管框架已在书面上明确了“良好实践”的标准,例如基于角色的访问控制、安全日志、安全的入职与身份验证、机构级托管方案(硬件安全模块、多方计算、多签和冷存储)以及持续监控和异常检测。然而,“由于监管要求仅逐渐成为强制性原则,许多Web3公司在整个2025年仍在沿用不安全的安全实践。”这些危险做法包括:在员工离职时未及时撤销其开发访问权限、使用单一私钥管理协议、以及未部署端点检测与响应系统等。
未来预测:2026年安全基线将被迫抬升
面对严峻形势,行业自救与监管强化已成必然。分析师指出,2026年,监管机构预计将从发布指导方针转向制定硬性要求,从而进一步推高安全门槛。Hacken联合创始人兼CEO表示,“我们看到行业在提升安全基线方面存在重大机遇,特别是在采用明确的专用签名硬件使用协议和实施必要的监控工具方面。”他预计,随着监管要求的落实和“最安全标准”的强制实施,2026年的整体安全状况将有所改善。
对于投资者和项目方而言,未来应重点关注几个非协商性的安全措施:定期渗透测试、事件模拟演练、托管控制审查以及独立的财务和控制审计。鉴于朝鲜相关黑客组织造成了约一半的损失,监管机构和执法部门也需要将其攻击模式视为一个特定的监管关切点,强制要求实时共享威胁情报,并进行针对性的风险评估。可以预见,一个由强监管、高标准和行业自律共同构筑的Web3安全新生态,正在阵痛中孕育。
