慢霧出品 | 2025 年上半年區塊鏈安全與反洗錢報告

由於篇幅限制，本文僅羅列分析報告中的關鍵內容，完整內容可通過以下鏈接下載。

中文：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(CN).pdf

英文：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(EN).pdf

一、前言

2025 年上半年，區塊鏈行業在高速發展的同時，也持續承壓於日益複雜的安全威脅與合規挑戰。一方面，黑客攻擊持續活躍，APT 組織攻擊手段趨於模塊化、系統化，釣魚與社工攻擊氾濫，造成重大資產損失和用戶信任危機。另一方面，全球監管加速演進，各國政府和國際組織圍繞反洗錢、制裁、投資者保護等方面頻繁出臺新規。值得關注的是，穩定幣正逐步演化爲連接傳統金融與鏈上金融的關鍵基礎設施，全球主要金融機構與頭部加密平臺紛紛加快穩定幣戰略佈局。除此之外，黑產資金流轉模式不斷演變，鏈上追蹤技術與情報協作機制也持續進化，監管機構與頭部平臺的合作日益密切，資金凍結與追回案例顯著增加，對鏈上犯罪與非法資金形成更強震懾。

作爲區塊鏈安全領域的先行者，慢霧(SlowMist) 持續在威脅情報、攻擊監測、追蹤溯源和合規支持方面深耕。在此背景下，本報告聚焦 2025 年上半年的重大安全事件、全球監管演進以及鏈上反洗錢趨勢。希望本報告能爲行業從業者、安全研究人員與合規負責人提供及時、系統、具有洞察力的安全合規參考，提升對風險的識別、響應與預判能力。

二、區塊鏈安全態勢

安全事件回顧

2025 年上半年，區塊鏈領域依舊面臨嚴峻的安全挑戰。根據慢霧(SlowMist) 區塊鏈被黑事件檔案庫(SlowMist Hacked) 的不完全統計，上半年共發生 121 起安全事件，造成損失約 23.73 億美元。 對比 2024 年上半年（共 223 件，損失約 14.3 億美元），雖然事件數量有所下降，但整體損失金額卻同比增長了約 65.94%。

注：本報告數據基於事件發生時的代幣價格，由於幣價波動、部分未公開事件以及普通用戶的損失未納入統計等因素，實際損失應高於統計結果。

(https://hacked.slowmist.io/)

1. 從生態維度看

Ethereum 依然是攻擊重災區，相關損失約 3,859 萬美元。其次是 Solana，損失約 580 萬美元，再者爲 BSC，損失約 549 萬美元。

2. 從項目類型看

DeFi 是最常受到攻擊的類型。2025 年上半年 DeFi 類型安全事件共 92 件，佔事件總數（121 起）的 76.03%，損失高達 4.7 億美元，對比 2024 年上半年（共 158 件，損失約 6.59 億美元），損失同比下降 28.67%。其次是交易所平臺相關事件共 11 起，但損失金額卻高達 18.83 億美元，其中以 Bybit 被攻擊最爲嚴重，單起事件造成約 14.6 億美元損失。

3. 從損失規模看

上半年有 2 起事件損失超過 1 億美元，前十大攻擊事件共計損失 20.18 億美元。

4. 從攻擊原因看

賬號被黑導致的安全事件最多，達 42 件。其次爲合約漏洞導致的安全事件，達 35 件。

欺詐手法

除了直接攻擊項目或協議，圍繞普通用戶的“騙術”也在快速進化。此節選取 2025 年上半年值得重點關注的幾種典型或新型的欺詐手法。

1. 利用 EIP-7702 釣魚

此類釣魚攻擊利用了 EIP-7702 帶來的委託機制變更 —— 用戶的 EOA 地址可以被授權給某個合約，使其具備這個合約的特性（如批量轉賬、批量授權、gas 代付等）。如果用戶將地址授權給一個惡意合約，就會存在風險，如果用戶將地址授權給一個正規的合約，但被釣魚網站惡意利用了合約的特性，也會存在風險。此外，一些防釣魚工具無法準確捕捉批量授權操作的風險，也爲釣魚團伙創造了可乘之機。

2. 利用深度僞造(Deepfake) 詐騙

隨着生成式人工智能技術的飛速發展，利用深度僞造(Deepfake) 技術進行的“信任型詐騙”迅速興起。這類詐騙的本質爲，攻擊者利用 AI 合成工具僞造知名項目方創始人、交易所高管或社羣 KOL 的音視頻形象，引導公衆對項目進行投資；或者通過虛假安全專家的指示，誘導受害者進行進一步授權和轉賬；更有甚者，攻擊者通過 Deepfake 技術結合受害者照片製作動態畫面，嘗試繞過交易所或錢包平臺的 KYC 系統，進而控制賬戶、盜取資產。這些僞造內容往往具備極高的逼真度，使得普通用戶難以辨別真僞。

3. Telegram 假 Safeguard 騙局

2025 年初，大量用戶在 Telegram 平臺遭遇假 Safeguard 騙局，最終導致資產被盜或設備中毒。該類騙局以誘導用戶執行剪貼板中的惡意代碼爲核心，藉助代幣空投、仿冒 KOL 帖子等高頻場景廣泛撒網，引發嚴重安全後果。即便是經驗豐富的玩家，也可能在 FOMO 情緒和“官方驗證”的假象下中招。

4. 惡意瀏覽器擴展

惡意瀏覽器擴展程序一直是加密領域中常見的欺詐手法之一。攻擊者通過僞裝成 “Web3 安全工具” 或利用插件自動更新機制，對用戶設備進行數據竊取和權限操控，甚至誘導用戶執行敏感操作，具有更強的隱蔽性和迷惑性。

5. LinkedIn 招聘釣魚

2025 年以來，以招聘爲名、注入惡意代碼的詐騙案例呈上升趨勢，尤其在 LinkedIn 等職業社交平臺上頻發，成爲工程師羣體的新型威脅。該類攻擊多采用“專業包裝 + 精準下手”的組合策略，僞裝程度極高。

6. 社交工程攻擊

2025 年上半年，社交工程攻擊在加密行業持續高發，攻擊手法愈發精細、隱蔽，尤其是結合平臺內部權限濫用與外部精準詐騙的案例，引發廣泛關注。其中，Coinbase 用戶遭遇的社工攻擊尤爲典型。自年初以來，大量 Coinbase 用戶反映接到“官方客服”來電，並被誘導將資金轉入所謂“安全錢包”。5 月 15 日，Coinbase 官方發佈公告，證實“內部人員疑似泄露客戶信息”，並表示正配合美國司法部(DOJ) 進行調查。調查結果顯示，黑客通過賄賂海外客服人員獲取系統權限，竊取了包括姓名、地址、郵箱在內的 KYC 信息，雖未涉及用戶密碼、私鑰與賬戶餘額，但足以實施一套高度擬真的詐騙流程。詐騙者甚至向 Coinbase 索要 2,000 萬美元贖金。

7. 低價 AI 工具的後門投毒

攻擊者以“全網最低價調用 AI 工具 API”爲誘餌，在短視頻平臺引流，誘導開發者安裝名爲 sw-cur、aiide-cur、sw-cur1 等惡意 npm 包。這些依賴包一旦執行，便會對本地 Cursor 應用進行深度篡改，植入後門並遠程接管代碼環境，不僅竊取憑證，還可能將設備變爲“肉雞”，長期處於攻擊者控制之下。據統計，已知受影響開發者超過 4,200 人，主要集中在使用 MacOS 的羣體中。

8. 無限制大型語言模型(LLM)

所謂“無限制 LLM”，是指那些被特意修改或“越獄”，繞過主流模型的安全機制與倫理限制的模型。主流廠商投入大量資源，防止模型被用於生成仇恨言論、虛假信息、惡意代碼或違法指令，而一些不法分子則有意開發或濫用這些限制較少的模型，用於網絡犯罪。在加密領域，這種模型的濫用正在降低攻擊門檻。攻擊者可以獲取開源模型權重和源碼，再通過包含惡意內容的數據集進行微調(fine-tuning)，打造出定製化的欺詐工具。這類模型可用於生成釣魚郵件、惡意代碼、詐騙話術等，哪怕沒有編程經驗的人也能輕鬆上手。

三、反洗錢態勢

本節分爲全球監管動態、資金凍結和歸還數據、組織動態、混幣工具四部分。

反洗錢及監管動態

2025 年上半年，各國在數字資產監管上明顯趨於成熟與制度化。從加密平臺牌照管理、穩定幣監管框架，到反洗錢制度強化，再到對隱私幣、P2P 交易的限制措施，全球正在形成一張愈發精密的加密金融治理網絡。

資金凍結/歸還數據

2025 年上半年，Tether 共凍結 209 個 ETH 地址上的 USDT-ERC20 資產。（數據源：https://dune.com/phabc/usdt---banned-addresses）

2025 年上半年，Circle 共凍結 44 個 ETH 地址上的 USDC-ERC20 資產。（數據源：https://dune.com/phabc/usdc-banned-addresses）

2025 年上半年，遭受攻擊後仍能收回或凍結損失資金的事件共有 9 起。在這 9 起事件中，被盜資金總計約 17.3 億美元，其中將近 2.7 億美元被返還/凍結，占上半年總損失的 11.38%。這一比例背後離不開多方協作應對和鏈上追蹤能力的不斷進步。

此外，在慢霧 InMist Lab 威脅情報合作網絡的大力支持下，2025 年上半年慢霧(SlowMist) 協助客戶、合作伙伴及公開被黑事件凍結&追回資金約 1,456 萬美元。

值得一提的是，4 月 15 日，去中心化永續合約交易平臺 KiloEX 遭遇黑客攻擊，損失約 844 萬美元。事件發生後，慢霧(SlowMist) 立即組織安全小組響應，聯合 KiloEx 梳理攻擊路徑和資金流向，同時，依託自研的鏈上反洗錢追蹤分析平臺 MistTrack(https://misttrack.io/) 與 InMist 威脅情報網絡，完成對攻擊者信息和特徵的畫像提取，並協助項目方與攻擊者展開多輪談判。最終，在慢霧(SlowMist) 及多方協作下，事件發生僅 3.5 天后，全部被盜資產 844 萬美元被成功追回，KiloEx 與攻擊者達成 10% 白帽賞金協議。

(https://etherscan.io/idm?addresses=0x00fac92881556a90fdb19eae9f23640b95b4bcbd%2C0x1D568fc08a1d3978985bc3e896A22abD1222ABcF%2C&type=1)

組織動態

1. Lazarus Group

本小節主要介紹朝鮮黑客組織 Lazarus Group 的作案手法、在 2025 年上半年製造的多起相關事件以及以 Bybit 被盜事件爲例，對 Lazarus Group 的洗幣手法進行剖析。

2. Drainers

本小節由我們的合作伙伴 —— Web3 反詐平臺 Scam Sniffer (https://www.scamsniffer.io/) 撰寫，在此表示感謝。

2025 年上半年，Web3 生態系統面臨釣魚攻擊威脅，總計造成約 3,973 萬美元的損失，受害地址達 43,628 個。此小節分析了 2025 年上半年 Wallet Drainer 攻擊的主要趨勢和大額案例，爲行業從業者和用戶提供安全參考。

3. HuionePay

隨着全球打擊網絡詐騙、地下支付網絡和非法跨境洗錢活動的力度持續加大，名爲匯旺支付(HuionePay) 的平臺引起了監管的高度關注。該平臺涉嫌被用於詐騙資金的接收、轉移及出金，尤其是在 TRON 鏈上通過 USDT 頻繁進行鏈上操作。慢霧(SlowMist) 基於鏈上反洗錢與追蹤工具 MistTrack 與鏈上公開數據構建了 Dune 數據統計面板，並在此基礎上開展了對匯旺支付(HuionePay) 在 TRON 鏈上 USDT 存取行爲的深入分析。數據時間範圍爲 2024 年 1 月 1 日至 2025 年 6 月 23 日，數據源：https://dune.com/misttrack/huionepay-data。

混幣工具

1. Tornado Cash

2025 年上半年用戶共計存入 254,094  ETH（約 605,272,821 美元）到 Tornado Cash，共計從 Tornado Cash 提款 248,922 ETH（約 584,998,160 美元）；在 5、6 月存提行爲較爲活躍。

(https://dune.com/misttrack/first-half-of-2025-stats)

2. eXch

2025 年上半年用戶共計存入 28,756  ETH（約 82,193,535 美元）到 eXch，共計存入 73,482,393 ERC20（約 73,482,393 美元）到 eXch；存入價值在 3 月初達到 194 萬美元的峯值，後因查封，於 4 月 30 日停止。

(https://dune.com/misttrack/first-half-of-2025-stats)

四、總結

2025 上半年，區塊鏈行業整體延續了合規、穩定、安全三大關鍵詞。黑客攻擊仍頻繁出現，尤其是項目方熱錢包以及社工釣魚仍是重災區；但相應地，鏈上追蹤、資金凍結等安全能力在不斷進化。另一方面，全球合規監管正在加速落地，中國香港、美國、歐盟等地密集出臺細化規則，行業“合規即准入”的趨勢越來越明顯。整體來看，行業正在逐步走出早期粗放階段，朝着“合規爲本、安全爲要、穩定爲基”的方向發展，競爭也越來越聚焦於誰能在合規監管體系下活得更久、更穩。

五、免責聲明

本報告內容基於我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫 SlowMist Hacked 以及反洗錢追蹤系統 MistTrack 的數據支持。但由於區塊鏈的“匿名”特性，我們在此並不能保證所有數據的絕對準確性，也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。 同時，本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處，歡迎大家批評指正。