朝鮮半島相關盜竊及弱密鑰安全成Web3損失主因:Hacken報告揭示2025年近40億美元損失
根據網絡安全公司Hacken最新發布的2025年度安全報告,Web3領域的總損失高達約39.5億美元,較2024年增加約11億美元,而當中超過一半的損失與朝鮮半島相關的黑客活動有關。報告指出,雖然智能合約漏洞仍然存在,但最大且難以挽回的損失主要源自於密鑰管理不善、簽署者被攻陷以及離職員工的權限未及時撤銷等操作層面的問題。
存取控制失誤主導損失,智能合約漏洞相對較少
Hacken報告指出,2025年因存取控制失誤及操作安全漏洞導致的損失約為21.2億美元,佔全年損失的近54%,而智能合約漏洞造成的損失則約為5.12億美元。當中,Bybit交易所遭受近15億美元的駭客攻擊,成為歷來最大單一盜竊案,也是朝鮮半島黑客集團造成超過52%總損失的主要原因。
監管規範逐步明確,但業界執行仍落後
Hacken鑑證部門負責人Yehor Rudystia表示,美國、歐盟及其他主要司法管轄區的監管機構,正陸續制定包括基於角色的存取控制、日誌記錄、安全入職及身份驗證、機構級保管(如硬件安全模組、多方計算、多重簽名及冷錢包)以及持續監控和異常偵測等安全標準。然而,由於這些規定多屬指導性原則,許多Web3企業在2025年仍沿用不安全的做法,如未及時撤銷離職開發者的存取權限、使用單一私鑰管理協議,以及缺乏端點偵測與響應系統。
Rudystia強調,定期滲透測試、事件模擬、保管控制審查及獨立財務和控制審計,應成為大型交易所及保管機構在2026年不可妥協的標準。
從軟性指引走向硬性規定
Hacken聯合創辦人兼CEO Yevheniia Broshevan表示,隨著監管機構從指導性建議轉向強制性要求,業界有重大機會提升安全基準,尤其是在採用專用簽署硬件和實施必要監控工具方面。她預計2026年整體安全水平將因監管要求和最高安全標準的推行而顯著改善,從而更有效保障用戶資金安全。
由於朝鮮半島黑客集團在損失中佔比接近一半,Rudystia建議監管機構和執法部門應將其作為特別監督對象,要求實時共享針對朝鮮半島威脅的情報,進行釣魚攻擊等特定風險評估,並配合分級處罰機制及對積極防禦平台的安全港保護。
—
評論與啟示
這份報告揭示了Web3生態系統在安全管理上的深層次問題,尤其是操作層面的安全漏洞遠比智能合約的技術缺陷更具破壞力。這反映出業界在技術創新之外,對於基礎安全治理的重視仍遠遠不足。尤其是密鑰管理和人員權限控制這些看似基本的安全措施,卻成為了黑客入侵的最大突破口。
朝鮮半島黑客集團的活躍更凸顯了地緣政治因素對加密資產安全的影響,這不僅是技術問題,更涉及國際安全和法律執法的複雜交織。監管機構若能將針對特定威脅的實時情報共享和風險評估納入強制要求,並對違規者施以嚴厲制裁,將有助於提升整體防禦能力。
此外,這份報告提醒我們,Web3的去中心化理想不應成為安全管理的藉口。相反,隨著生態系統日益龐大和複雜,建立嚴格的存取控制、持續監控和審計機制,才是確保用戶資產安全的根本之道。未來的監管趨勢將更重視實際操作的安全標準,這對於整個行業的健康發展至關重要。
香港作為國際金融中心,也應密切關注這些趨勢,推動本地加密資產市場建立更嚴謹的安全規範,防範類似大規模盜竊事件發生,保障投資者利益及市場信心。
以上文章由GPT API 所翻譯及撰寫。圖片由Google Gemini 根據內容自動生成。
