loading...
哈肯发布的2025年度安全报告揭示,全球Web3领域总损失预计将达39.5亿美元,较2024年增长约11亿美元。其中超过一半的损失归因于与北朝鲜相关的威胁行为者,凸显出跨境网络犯罪对加密资产生态的持续冲击。
区块链调查员ZachXBT追踪到一起大规模冒充Coinbase服务台工作人员的诈骗案件,涉案金额超过200万美元。攻击者通过电报群组、社交媒体活动及链上钱包交易数据交叉比对,锁定一名自称“加拿大威胁行为者”的嫌疑人。
该团伙采用典型社会工程策略,伪装成合法客服人员,诱导用户泄露敏感信息或进行欺诈性转账。被盗资金被用于购买稀有社交媒体用户名、酒水服务及赌博消费。尽管嫌疑人频繁更换账号并删除旧身份,但其在社交媒体上的炫耀行为仍留下可追溯痕迹。
根据Hacken报告,2025年加密货币损失中,约54%(21.2亿美元)源于访问控制故障与运营安全缺陷,包括密钥管理不当、签名人信息泄露以及离职流程缺失。相比之下,智能合约漏洞造成的损失仅为5.12亿美元。
第一季度损失峰值达20亿美元,随后逐季下降,第四季度降至约3.5亿美元。尽管年末趋势趋缓,但整体数据反映系统性问题仍未解决,而非偶发技术漏洞所致。
此次重大损失主要由一宗针对Bybit的攻击引发,造成近15亿美元资产被盗,成为加密史上最大单次盗窃案。该事件直接推高了朝鲜关联团伙对全年损失的占比,接近52%。
Hacken强调,当前许多Web3机构仍沿用不安全实践,如未及时撤销离职员工权限、依赖单私钥管理核心功能、缺乏端点检测与响应(EDR)系统等。这些操作隐患已成为安全隐患的核心来源。
哈肯法务团队指出,美欧等主要司法管辖区已建立明确的安全运营规范,涵盖基于角色的访问控制、日志审计、硬件安全模块(HSM)、多签名机制、冷存储部署及实时异常监测。
联合创始人叶夫根尼娅·布罗舍万表示,行业应尽快将专用签名硬件、持续监控工具和定期渗透测试纳入标准配置。她预测,2026年起,独立审计与应急演练将成为机构必须履行的强制性要求。
专家提醒,任何声称来自加密平台的未经请求电话或消息均需高度警惕。正规客服绝不会索要助记词、登录凭证,也不会要求用户将资金转移至私人钱包或切换至即时通讯工具。
用户应始终通过官方网站或认证应用联系支持,避免点击陌生链接。保持对可疑行为的警觉,是抵御社交工程攻击的第一道防线。
783
216
214
754
789
419
870
144
385
268
