根據網路安全公司 Hacken 的 《2025 年度安全報告》,北韓駭客主導了 2025 年 Web3 平台 40 億美元總損失中的一半以上,其中僅加密貨幣交易所 Bybit 的一次遭駭事件就損失了約 15 億美元。這一激增凸顯了攻擊手段的轉變:從利用智能合約漏洞轉向營運疏忽(如私鑰管理不善),這引發了業界對建立強制性監管標準的呼籲。
Hacken 本週發布的年度安全報告統計顯示,Web3 總損失達 40 億美元,較 2024 年的 28.5 億美元增長了 37% 。儘管在經歷了慘烈的第 1 季後,季度數據有所下降,但全年共發生了 155 起重大事件。受 2 月份 Bybit 遭駭事件推動,損失在第 1 季達到 20 億美元以上的峰值,隨後隨著安全意識提高,到第 4 季回落至約 3.5 億美元。
存取控制(Access control)失效和營運安全崩潰佔據了主導地位,造成 21.2 億美元或 54% 的損失,遠超過智能合約漏洞導致的 5.12 億美元。報告指出:「最大規模、且最難追回的損失仍源於弱私鑰、遭破解的簽署者以及草率的離職流程。」報告特別強調了如單一私鑰協議管理和端點偵測不足等不當做法。
與北韓相關的團體(通常與資助武器計劃的國家支持行動有關)竊取了 20.2 億美元——佔總損失的 52%——這比他們 2024 年的獲利增加了 51% 。根據區塊鏈分析公司 Chainalysis 的數據,自 2017 年以來,這類累計竊取金額已達 67.5 億美元。 Bybit 事件中,駭客透過供應商的安全漏洞轉移了 40.1 萬枚以太幣,創下史上最大單筆加密貨幣竊案紀錄。 Bybit 在遭駭後補充了儲備金,但該事件放大了外界對中心化交易所的審查。
Hacken Extractor 部門取證主管 Yehor Rudystia 告訴外媒,美國、歐盟等地的監管機構正在制定如多重簽名錢包(Multi-sig)和異常檢測等「良好」做法,但在 2025 年,仍有許多公司固守不安全的習慣。他補充說:「定期的滲透測試、事件模擬和獨立審計至關重要」,並敦促對不合規行為實施處罰,並共享有關北韓戰術的威脅情報。
Hacken 共同創辦人兼執行長 Yev Broshevan 預測,隨著相關指南演變為強制性要求,2026 年情況將有所改善,並強調「專用簽名硬體和監測工具」將提升安全基準。
該報告與更廣泛的行業數據一致:Chainalysis 估計 2025 年總盜竊額為 34 億美元,其中個人錢包遭破解佔損失的比例從 2022 年的 7.3% 升至 44% 。 CertiK 則報告損失為 33.5 億美元,雖然事件數量減少,但損失金額卻增長了 37%,凸顯了高影響力漏洞攻擊的嚴重性。
在社交平台 X 上,反應也強調了緊迫性:「安全第一,否則傾家蕩產(Security first or get rekt),」一位用戶發文倡導審計和多簽設置。 Hacken 官方帳號也發文警告,中心化交易所入侵和 DeFi 漏洞攻擊帶來了「殘酷」的教訓。
隨著 Web3 趨於成熟,加密貨幣總市值接近 4 兆美元,專家警告,除非防禦能力增強,否則系統性風險可能會阻礙機構資金流入。 Hacken 預計 2026 年將出現「最安全的標準」,但隨著北韓的攻擊手法不斷演變,該行業正面臨一場與複雜威脅的競賽。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
