與北韓相關的盜竊和薄弱的密鑰安全主導Web3損失：Hacken

來源：CryptoNewsNet 原標題：與北韓相關的盜竊與薄弱的密鑰安全主導Web3損失：Hacken 原連結： Hacken 2025年度安全報告將Web3總損失估算約為39.5億美元，比2024年增加約11億美元，其中剛好一半以上歸因於北韓威脅行為者。

一份與Cointelegraph分享的報告顯示，損失在今年第一季度達到超過$2 億美元的高點，之後在第四季度降至約$350 百萬美元，但Hacken警告，這一模式仍指向系統性操作風險，而非孤立的程式碼漏洞。

該報告將2025年描述為數字惡化的一年，但底層故事已變得清晰。智能合約漏洞固然重要，但最大、最難挽回的損失仍來自弱密鑰、被破壞的簽署者，以及草率的離職程序。

存取控制，而非程式碼，驅動損失

根據Hacken，存取控制失敗和更廣泛的操作安全崩潰約佔2025年所有損失的54%，約為21.2億美元，而智能合約漏洞則約為$512 百萬美元。

按攻擊類型的加密貨幣損失。來源：Hacken 2025安全報告

單一交易所的重大漏洞，近15億美元，被描述為史上最大單一盜竊事件，也是北韓相關集群約佔被盜資金總額52%的主要原因。

監管者制定控制措施，行業仍落後

Hacken Extractor的法醫分析主管Yehor Rudystia告訴Cointelegraph，歐美等主要司法管轄區的監管機構越來越明確規定“良好”實踐的標準，例如基於角色的存取控制、日誌記錄、安全上線與身份驗證、機構級別的托管(硬體安全模型、多方計算或多簽，以及冷存儲)，以及持續監控與異常偵測。

然而，他指出，“由於監管要求僅成為強制性原則，許多Web3公司在2025年仍持續採用不安全的做法。”

他提到的做法包括：在離職時不撤銷開發者的存取權、使用單一私鑰管理協議，以及沒有端點偵測與響應系統。

“其中最重要的包括定期滲透測試、事件模擬、托管控制審查，以及獨立的財務與控制審計，” Rudystia表示，並補充說，大型交易所與托管機構應將這些視為2026年的非協商性標準。

從軟性指導到硬性規定

隨著監管者從指導轉向硬性規定，Hacken預計門檻將進一步提高。

Hacken的聯合創始人兼CEO Yevheniia Broshevan告訴Cointelegraph：“我們看到行業有很大的機會提升安全基準，特別是在採用專用簽名硬體的明確協議和實施必要的監控工具方面。”

他表示，預計在2026年，隨著監管要求和“最安全標準”的推行，整體安全性將有所改善，以保護用戶資金。

鑑於北韓相關集群約佔Hacken歸因損失的一半，Rudystia表示，監管機構和執法部門也需要將該國的作戰手法作為特定的監督關注點。

他認為，當局應強制實時威脅情報分享北韓指標，要求針對釣魚攻擊的存取風險評估，並配合“逐步加重的違規懲罰”以及對全面參與並維持北韓特定防禦措施的平台提供“安全港”保護。