Pagkalugi sa Web3 sa 2025
Ayon sa taunang ulat sa seguridad ng Hacken para sa 2025, umabot sa humigit-kumulang $3.95 bilyon ang kabuuang pagkalugi sa Web3, na tumaas ng halos $1.1 bilyon mula sa 2024. Higit sa kalahati ng mga pagkalugi ay iniuugnay sa mga banta mula sa mga aktor ng Hilagang Korea. Ipinapakita ng ulat na ang karamihan sa mga pagkalugi ay dulot ng mga pagkukulang sa access control at mga kahinaan sa operational security, tulad ng mga nakompromisong susi at mahihirap na pamamaraan ng off-boarding, sa halip na mga bug sa smart contract.
Insidente ng Scamming
Ayon kay ZachXBT, isang blockchain investigator, isang scammer na nagpapanggap bilang empleyado ng help desk ng Coinbase ang nagnakaw ng higit sa $2 milyon mula sa mga gumagamit ng exchange. Sa isang post sa X, sinabi ni ZachXBT na nakilala niya ang indibidwal sa pamamagitan ng pag-cross-reference ng mga screenshot mula sa Telegram group, aktibidad sa social media, at mga transaksyon sa on-chain wallet na nauugnay sa mga pagnanakaw.
“Inilarawan ang suspek bilang isang ‘Canadian threat actor’ na gumamit ng mga taktika ng social engineering upang lokohin ang mga biktima na maniwalang nakikipag-usap sila sa isang lehitimong kinatawan mula sa Coinbase.”
Ayon kay ZachXBT, ang mga nakaw na pondo ay ginastos sa mga bihirang username sa social media, serbisyo ng bote, at pagsusugal. Nagbahagi rin siya ng isang na-leak na video na nagpapakita ng hinihinalang scammer sa isang tawag sa telepono kasama ang isang biktima, na nag-aalok ng pekeng customer support.
Mga Teknik ng Social Engineering
Bagaman hindi ibinahagi ang mga tiyak na teknikal na detalye ng bawat insidente, iniulat na ang mga scam ay umaasa sa mga klasikong teknik ng social engineering, kung saan ang mga umaatake ay nagpapanggap bilang mga pinagkakatiwalaang tao upang makuha ang tiwala ng mga biktima at makuha ang sensitibong impormasyon o hikayatin silang gumawa ng mga mapanlinlang na transaksyon. Sinabi ni ZachXBT na sinubukan ng suspek na itago ang kanyang mga yapak sa pamamagitan ng paulit-ulit na pagbili ng mga mamahaling username sa Telegram at pagtanggal ng mga lumang account, ngunit nag-iwan ng bakas sa pamamagitan ng mga pampublikong post at madalas na pagyayabang sa social media.
Pagtaas ng mga Pagkalugi sa Web3
Ang mga pagkalugi sa seguridad ng Web3 ay tumaas nang husto noong 2025, umabot sa tinatayang $3.95 bilyon. Ayon sa pinakabagong taunang ulat mula sa Hacken, ang figure na ito ay isang pagtaas ng halos $1.1 bilyon kumpara sa 2024, kung saan higit sa kalahati ng mga pagkalugi ay iniuugnay sa mga aktor ng banta na konektado sa Hilagang Korea. Ipinapakita ng data na ang mga pagkalugi ay labis na nauna, umabot sa higit sa $2 bilyon sa unang kwarter ng taon bago bumagsak nang tuluy-tuloy sa humigit-kumulang $350 milyon sa ikaapat na kwarter.
Bagaman ang pagbagsak sa kalaunan ng taon ay maaaring magmungkahi ng pag-unlad, nagbabala ang Hacken na ang pangkalahatang pattern ay nagpapakita ng malalim, sistematikong mga kahinaan sa operasyon sa halip na isang pansamantalang pagtaas na dulot ng mga nakahiwalay na bug sa software. Ayon sa ulat, ang 2025 ay nagbigay ng isang trend na hindi maikakaila: habang ang mga kahinaan sa smart contract ay nananatiling panganib, ang pinaka-nakakapinsalang at hindi madaling maibalik na mga pagkalugi ay patuloy na pinapagana ng mga pagkukulang sa access control at mga pagkukulang sa operational security.
Mga Sanhi ng Malalaking Insidente
Ang mahihirap na pamamahala ng susi, mga nakompromisong signers, at mahihirap na pamamaraan ng off-boarding ay nakilala bilang mga pangunahing sanhi ng malalaking insidente. Tinataya ng Hacken na ang mga pagkukulang sa access control at mga kaugnay na operational failures ay umabot sa humigit-kumulang $2.12 bilyon, o halos 54% ng lahat ng pagkalugi sa buong taon, kumpara sa humigit-kumulang $512 milyon na nauugnay sa mga exploit ng smart contract.
Isang insidente ang naglaro ng malaking papel sa paghubog ng mga istatistika ng taon. Ang paglabag sa Bybit, na nagresulta sa mga pagkalugi na malapit sa $1.5 bilyon, ay inilarawan sa ulat bilang pinakamalaking pagnanakaw na naitala sa industriya ng crypto. Sinabi ng Hacken na ang pag-atakeng ito lamang ang tumutulong upang ipaliwanag kung bakit ang mga cluster na konektado sa Hilagang Korea ay responsable para sa humigit-kumulang 52% ng lahat ng ninakaw na pondo noong 2025.
Mga Inaasahang Pamantayan sa Seguridad
Itinuro ng forensic team ng Hacken na ang mga regulator sa mga pangunahing hurisdiksyon, kabilang ang Estados Unidos at European Union, ay naglatag kung ano ang dapat na hitsura ng matibay na operational security. Kasama sa mga inaasahang ito ang role-based access control, komprehensibong logging, secure onboarding at identity verification, institutional-grade custody solutions tulad ng hardware security modules, multi-party computation, multi-signature setups, cold storage, at patuloy na pagmamanman na may anomaly detection.
Sa kabila nito, sinabi ng Hacken na maraming kumpanya sa Web3 ang patuloy na nag-operate gamit ang mga hindi secure na kasanayan sa buong 2025. Itinuro ni Yehor Rudystia, pinuno ng forensic sa Hacken Extractor, ang mga paulit-ulit na isyu tulad ng hindi pagbawi ng access ng developer sa panahon ng off-boarding, pag-asa sa isang solong pribadong susi upang pamahalaan ang mga kritikal na function ng protocol, at hindi pag-deploy ng Endpoint Detection at Response systems.
Hinaharap ng Seguridad sa Web3
Ipinaliwanag niya na ang mga hakbang tulad ng regular na penetration testing, incident response simulations, custody control reviews, at independent audits ay dapat ituring na hindi mapag-uusapan para sa malalaking exchange at custodians sa pagpasok ng 2026. Sa pagtingin sa hinaharap, inaasahan ng Hacken na ang regulatory oversight ay lilipat mula sa malambot na gabay patungo sa mga maipapatupad na kinakailangan. Sinabi ng co-founder at CEO na si Yevheniia Broshevan na ang industriya ay may malinaw na pagkakataon na itaas ang kanilang security baseline sa pamamagitan ng pag-aampon ng mga nakalaang signing hardware at mga mahahalagang monitoring tools bilang pamantayang kasanayan.
