与朝鲜有关的盗窃和薄弱的密钥安全主导Web3损失：Hacken

来源：CryptoNewsNet 原文标题：朝鲜相关盗窃和薄弱密钥安全主导Web3损失：Hacken 原文链接： Hacken 2025年度安全报告显示，2025年Web3总损失约为39.5亿美元，比2024年增加约11亿美元，其中超过一半归因于朝鲜威胁行为者。

一份与Cointelegraph分享的报告显示，损失在今年第一季度达到超过$2 亿美元的峰值，随后在第四季度降至约$350 百万，但Hacken警告称，这一模式仍指向系统性操作风险，而非孤立的编码漏洞。

该报告将2025年描述为数字恶化的一年，但背后的故事变得清晰。智能合约漏洞固然重要，但最大、最难弥补的损失仍来自弱密钥、被攻破的签名者以及疏忽的离职处理。

访问控制，而非代码，推动损失

据Hacken称，访问控制失败和更广泛的操作安全崩溃占据了约21.2亿美元，几乎占2025年所有损失的54%，而智能合约漏洞仅约$512 百万。

按攻击类型划分的加密货币损失。来源：Hacken 2025安全报告

单一交易所的重大漏洞，近15亿美元，被描述为有史以来最大的单一盗窃事件，也是朝鲜相关团伙占据总被盗资金约52%的关键原因。

监管者制定控制措施，行业滞后

Hacken Extractor的取证负责人Yehor Rudystia告诉Cointelegraph，全球范围内的监管机构，包括美国、欧盟及其他主要司法管辖区的许可制度，越来越明确“良好”操作的标准，比如基于角色的访问控制、日志记录、安全入职和身份验证、机构级别的托管(硬件安全模型、多方计算或多签，以及冷存储)，以及持续监控和异常检测。

然而，“由于监管要求仅成为强制性原则，许多Web3公司在2025年仍继续采用不安全的做法。”

他指出的做法包括：在离职时不撤销开发者的访问权限、使用单一私钥管理协议，以及没有端点检测与响应系统。

“其中最重要的包括定期渗透测试、事件模拟、托管控制审查，以及独立的财务和控制审计，” Rudystia表示，并补充说，大型交易所和托管机构应将这些视为2026年的硬性要求。

从软指导到硬性要求

随着监管机构从指导转向硬性要求，Hacken预计门槛将进一步提高。

Hacken的联合创始人兼CEO Yevheniia Broshevan告诉Cointelegraph：“我们看到行业提升安全基线的重大机遇，特别是在采用专用签名硬件的明确协议和实施关键监控工具方面。”

他表示，预计到2026年，随着监管要求和“最安全标准”的实施，整体安全水平将得到改善，以保护用户资金。

鉴于朝鲜相关团伙在Hacken归因中造成了大约一半的损失，Rudystia表示，监管机构和执法部门还需要将该国的操作手册作为具体的监管关注点。

他认为，相关当局应强制实施关于朝鲜指标的实时威胁情报共享，要求进行针对钓鱼攻击的访问风险评估，并配合“逐步加重的违规处罚”以及对充分参与并维护朝鲜特定防御措施的平台提供“安全港”保护。