2025年Web3安全损失达39.5亿美元，朝鲜黑客成主因

2025年加密行业安全损失飙升至39.5亿美元

哈肯发布的2025年度安全报告揭示，全球Web3领域总损失预计将达39.5亿美元，较2024年增长约11亿美元。其中超过一半的损失归因于与北朝鲜相关的威胁行为者，凸显出跨境网络犯罪对加密资产生态的持续冲击。

社交工程诈骗频发：冒充Coinbase客服窃取资金

区块链调查员ZachXBT追踪到一起大规模冒充Coinbase服务台工作人员的诈骗案件，涉案金额超过200万美元。攻击者通过电报群组、社交媒体活动及链上钱包交易数据交叉比对，锁定一名自称“加拿大威胁行为者”的嫌疑人。

该团伙采用典型社会工程策略，伪装成合法客服人员，诱导用户泄露敏感信息或进行欺诈性转账。被盗资金被用于购买稀有社交媒体用户名、酒水服务及赌博消费。尽管嫌疑人频繁更换账号并删除旧身份，但其在社交媒体上的炫耀行为仍留下可追溯痕迹。

运营漏洞成最大风险，智能合约非主因

根据Hacken报告，2025年加密货币损失中，约54%（21.2亿美元）源于访问控制故障与运营安全缺陷，包括密钥管理不当、签名人信息泄露以及离职流程缺失。相比之下，智能合约漏洞造成的损失仅为5.12亿美元。

第一季度损失峰值达20亿美元，随后逐季下降，第四季度降至约3.5亿美元。尽管年末趋势趋缓，但整体数据反映系统性问题仍未解决，而非偶发技术漏洞所致。

单一事件影响深远：Bybit数据泄露致近15亿损失

此次重大损失主要由一宗针对Bybit的攻击引发，造成近15亿美元资产被盗，成为加密史上最大单次盗窃案。该事件直接推高了朝鲜关联团伙对全年损失的占比，接近52%。

Hacken强调，当前许多Web3机构仍沿用不安全实践，如未及时撤销离职员工权限、依赖单私钥管理核心功能、缺乏端点检测与响应（EDR）系统等。这些操作隐患已成为安全隐患的核心来源。

未来监管将转向强制合规

哈肯法务团队指出，美欧等主要司法管辖区已建立明确的安全运营规范，涵盖基于角色的访问控制、日志审计、硬件安全模块（HSM）、多签名机制、冷存储部署及实时异常监测。

联合创始人叶夫根尼娅·布罗舍万表示，行业应尽快将专用签名硬件、持续监控工具和定期渗透测试纳入标准配置。她预测，2026年起，独立审计与应急演练将成为机构必须履行的强制性要求。

防范建议：警惕非官方沟通渠道

专家提醒，任何声称来自加密平台的未经请求电话或消息均需高度警惕。正规客服绝不会索要助记词、登录凭证，也不会要求用户将资金转移至私人钱包或切换至即时通讯工具。

用户应始终通过官方网站或认证应用联系支持，避免点击陌生链接。保持对可疑行为的警觉，是抵御社交工程攻击的第一道防线。