过半数与北韩有关！2025 年被盗 40 亿美元，存取控制失误影响超过代码漏洞

根据网路安全公司 Hacken 的 《2025 年度安全报告》，北韩骇客主导了 2025 年 Web3 平台 40 亿美元总损失中的一半以上，其中仅加密货币交易所 Bybit 的一次遭骇事件就损失了约 15 亿美元。这一激增凸显了攻击手段的转变：从利用智能合约漏洞转向营运疏忽（如私钥管理不善），这引发了业界对建立强制性监管标准的呼吁。

Hacken 本周发布的年度安全报告统计显示，Web3 总损失达 40 亿美元，较 2024 年的 28.5 亿美元增长了 37% 。尽管在经历了惨烈的第 1 季后，季度数据有所下降，但全年共发生了 155 起重大事件。受 2 月份 Bybit 遭骇事件推动，损失在第 1 季达到 20 亿美元以上的峰值，随后随著安全意识提高，到第 4 季回落至约 3.5 亿美元。

存取控制（Access control）失效和营运安全崩溃占据了主导地位，造成 21.2 亿美元或 54% 的损失，远超过智能合约漏洞导致的 5.12 亿美元。报告指出：「最大规模、且最难追回的损失仍源于弱私钥、遭破解的签署者以及草率的离职流程。」报告特别强调了如单一私钥协议管理和端点侦测不足等不当做法。

与北韩相关的团体（通常与资助武器计划的国家支持行动有关）窃取了 20.2 亿美元——占总损失的 52%——这比他们 2024 年的获利增加了 51% 。根据区块链分析公司 Chainalysis 的数据，自 2017 年以来，这类累计窃取金额已达 67.5 亿美元。 Bybit 事件中，骇客透过供应商的安全漏洞转移了 40.1 万枚以太币，创下史上最大单笔加密货币窃案纪录。 Bybit 在遭骇后补充了储备金，但该事件放大了外界对中心化交易所的审查。

Hacken Extractor 部门取证主管 Yehor Rudystia 告诉外媒，美国、欧盟等地的监管机构正在制定如多重签名钱包（Multi-sig）和异常检测等「良好」做法，但在 2025 年，仍有许多公司固守不安全的习惯。他补充说：「定期的渗透测试、事件模拟和独立审计至关重要」，并敦促对不合规行为实施处罚，并共享有关北韩战术的威胁情报。

Hacken 共同创办人兼执行长 Yev Broshevan 预测，随著相关指南演变为强制性要求，2026 年情况将有所改善，并强调「专用签名硬体和监测工具」将提升安全基准。

该报告与更广泛的行业数据一致：Chainalysis 估计 2025 年总盗窃额为 34 亿美元，其中个人钱包遭破解占损失的比例从 2022 年的 7.3% 升至 44% 。 CertiK 则报告损失为 33.5 亿美元，虽然事件数量减少，但损失金额却增长了 37%，凸显了高影响力漏洞攻击的严重性。

在社交平台 X 上，反应也强调了紧迫性：「安全第一，否则倾家荡产（Security first or get rekt），」一位用户发文倡导审计和多签设置。 Hacken 官方帐号也发文警告，中心化交易所入侵和 DeFi 漏洞攻击带来了「残酷」的教训。

随著 Web3 趋于成熟，加密货币总市值接近 4 兆美元，专家警告，除非防御能力增强，否则系统性风险可能会阻碍机构资金流入。 Hacken 预计 2026 年将出现「最安全的标准」，但随著北韩的攻击手法不断演变，该行业正面临一场与复杂威胁的竞赛。