Hacken 2025年度安全報告顯示,Web3總損失約為395億美元,比2024年增加110億美元,其中超過一半歸因於北韓地區威脅行為者。
該報告與Cointelegraph共享顯示,第一季損失高峰超過200億美元,到第四季降至約35億美元,但Hacken警告指出,這種模式仍然指向系統性營運風險,而非孤立的程式碼漏洞。
報告將2025年描述為數據惡化但根本問題更加明確的一年。智慧合約漏洞固然重要,但最大、最難以恢復的損失仍源自薄弱的金鑰、被入侵的簽署者與草率的離職處理流程。
存取控制而非程式碼導致主要損失
根據Hacken分析,存取控制失敗與更廣泛的營運安全漏洞造成約212億美元的損失,佔2025年全部損失的近54%,而智慧合約漏洞造成的損失約為51.2億美元。
Hacken描述稱,單是Bybit的資料外洩就造成近150億美元的損失,是有紀錄以來最大單一竊盜事件,也是北韓相關集團占竊盜資金總額52%的主要原因。
監管機構明確控制措施,產業仍在落後
Hacken Extractor的鑑識主管Yehor Rudystia向Cointelegraph表示,美國、歐盟及其他主要司法管轄區的監管機構在許可制度中越來越明確地規定理論上的"良好"實踐,如基於角色的存取控制、日誌紀錄、安全入職與身份驗證、機構級別的託管(硬體安全模組、多方計算或多重簽名,以及冷錢包存儲),以及持續監控與異常偵測。
然而,"由於監管要求僅逐步成為強制性原則,許多Web3公司在整個2025年繼續遵循不安全的做法,"Rudystia指出。
他提到一些問題作法,如員工離職期間不撤銷開發者存取權限,使用單一私鑰管理協議,以及缺乏端點偵測與回應系統。
"最重要的措施包括定期滲透測試、事件模擬、託管控制審查以及獨立的財務和控制稽核,"Rudystia強調,並補充,大型交易所與託管機構應將這些視為2026年不可妥協的基本要素。
從軟性指導到硬性要求
Hacken預計,隨著監管機構從指導性建議轉向強制性要求,產業安全標準將進一步提升。
Hacken聯合創辦人兼執行長Yevheniia Broshevan在接受Cointelegraph專訪時指出:"我們看到產業有顯著機會提升其安全基準,尤其是在採用明確的專用簽名硬體協議與實施必要監控工具方面。"
她預測,到2026年,隨著監管要求的實施與"最高安全標準"的強制執行,整體安全性將獲得顯著改善,從而更好保護用戶資金。
考慮到Hacken報告中約半數損失由北韓相關組織造成的事實,Rudystia表示,監管機構與執法部門需要將該國的攻擊策略作為特定監管重點對待。
他強調,當局應當強制要求即時共享有關北韓威脅指標的情報,要求進行針對釣魚主導型存取攻擊的特定威脅風險評估,並將這些措施與"針對不合規行為的分級處罰機制"結合,同時為全面參與並維持針對北韓特定防禦措施的平台提供安全港保障。
