区块链行业在2025年上半年呈现出高速发展与安全挑战并存的局面。根据慢雾科技发布的《2025上半年区块链安全与反洗钱报告》,该行业在技术创新和合规建设方面取得显著进展的同时,也面临着日益复杂的安全威胁与合规挑战。数据显示,2025年上半年共发生121起安全事件,造成损失约23.73亿美元,虽然事件数量较2024年同期有所下降,但整体损失金额却同比增长了约65.94%。这一现象反映出区块链安全形势的严峻性,也凸显了行业在风险管理方面的不足。本文将深入分析2025年上半年区块链行业的安全态势、欺诈手法演变、全球监管动态以及反洗钱趋势,为行业从业者、安全研究人员与合规负责人提供系统性的参考。
2025年上半年,区块链安全事件呈现出"数量减少但单笔损失增大"的显著特征。Ethereum依然是攻击重灾区,相关损失约3,859万美元,其次是Solana(损失约580万美元)和BSC(损失约549万美元)。从项目类型来看,DeFi是最常受到攻击的类型,上半年共发生92起DeFi安全事件,占事件总数的76.03%,损失高达4.7亿美元。值得注意的是,虽然DeFi领域损失同比下降28.67%,但交易所平台相关事件虽然仅有11起,损失金额却高达18.83亿美元,其中以Bybit被攻击最为严重,单起事件造成约14.6亿美元损失。
攻击手法在2025年上半年出现了明显的升级与创新。账号被黑导致的安全事件最多,达42件,其次为合约漏洞导致的安全事件,达35件。特别值得关注的是,围绕普通用户的"骗术"正在快速进化,呈现出以下几个显著特点:
首先,利用EIP-7702新特性的钓鱼攻击成为新型威胁。5月24日,一位用户因EIP-7702授权操作遭遇钓鱼攻击,导致损失达146,551美元。此类攻击之所以高效,根本原因在于EIP-7702带来的委托机制变更——用户的EOA地址可以被授权给某个合约,使其具备这个合约的特性(如批量转账、批量授权、gas代付等)。如果用户将地址授权给一个恶意合约,就会存在严重风险。更复杂的是,一些防钓鱼工具无法准确捕捉批量授权操作的风险,为钓鱼团伙创造了可乘之机。
其次,深度伪造(Deepfake)技术被广泛应用于"信任型诈骗"。随着生成式人工智能技术的飞速发展,攻击者利用AI合成工具伪造知名项目方创始人、交易所高管或社群KOL的音视频形象,引导公众对项目进行投资。典型案例包括新加坡前总理李显龙与副总理黄循财的视频遭伪造,被用于推广所谓"政府背书的加密投资平台",以及特斯拉CEO马斯克"频频现身"虚假投资赠送活动中。这类视频多通过X、Facebook、Telegram等平台传播,关闭评论功能营造"官方权威"的既视感,诱导用户点击链接或投资特定代币。
第三,Telegram假Safeguard骗局在2025年初造成大量用户资产被盗或设备中毒。该类骗局以诱导用户执行剪贴板中的恶意代码为核心,借助代币空投、仿冒KOL帖子等高频场景广泛撒网。骗子常常创建假冒KOL的X账号,并在评论区附上Telegram链接,邀请用户加入"独家"Telegram群组以获得投资信息。一旦用户按照指示操作,恶意代码通常会悄无声息地下载更复杂的恶意代码,最终使电脑感染远程控制木马(如Remcos),黑客便能远程窃取电脑中的钱包文件、助记词、私钥、密码等敏感信息。
此外,恶意浏览器扩展程序依然是加密领域中常见的欺诈手法之一。2025年上半年,攻击者通过伪装成"Web3安全工具"或利用插件自动更新机制,对用户设备进行数据窃取和权限操控。典型案例包括用户@0xmaoning发现的钓鱼扩展"Osiris",以及被篡改的Chrome知名代理切换插件SwitchyOmega。后者影响超过260万用户,源于一起社会工程攻击:攻击者向插件开发者发送伪造的"Google违规通知",诱导其点击钓鱼链接并授权恶意OAuth应用,导致其发布的浏览器插件被注入恶意代码。
LinkedIn招聘钓鱼在2025年也呈现上升趋势,尤其在工程师群体中造成新型威胁。攻击者冒充区块链项目方,通过LinkedIn主动联系受害者,并以"游戏化质押平台"项目为由,发送长篇项目介绍,最终诱导受害者下载并运行含有恶意代码的技术评估任务。这类攻击不仅窃取加密资产,还可能获取企业敏感数据和知识产权。
2025年上半年,区块链行业的欺诈手法呈现出从单纯技术攻击向复合型社会工程学攻击转变的趋势。攻击者不再仅仅依赖技术漏洞,而是更加注重利用人性弱点和心理操控,使得防范难度大幅增加。
社交工程攻击在加密行业持续高发,攻击手法愈发精细、隐蔽。Coinbase用户遭遇的社工攻击就是典型案例。自年初以来,大量Coinbase用户反映接到"官方客服"来电,并被诱导将资金转入所谓"安全钱包"。5月15日,Coinbase官方发布公告,证实"内部人员疑似泄露客户信息",并表示正配合美国司法部(DOJ)进行调查。调查结果显示,黑客通过贿赂海外客服人员获取系统权限,窃取了包括姓名、地址、邮箱在内的KYC信息,虽未涉及用户密码、私钥与账户余额,但足以实施一套高度拟真的诈骗流程。诈骗者甚至向Coinbase索要2000万美元赎金。
这类诈骗已导致Coinbase用户损失超上亿美元,作案团伙多与特定地区犯罪网络有关,且流程高度标准化。诈骗全链路通常包括四个步骤:伪造官方身份发起联络、诱导用户转移资产、提供预设助记词以及快速盗取资产。攻击者通过PBX系统伪造Coinbase官方号码拨打电话,制造"账户风险"紧张氛围,同时发送钓鱼邮件或短信附带虚假工单,引导用户点击克隆网站或执行"账户恢复"。与传统诱导泄露助记词不同,新型攻击中攻击者直接提供已预设的助记词,引导用户重建"官方新钱包",诱导感更强。一旦用户完成资产转移,资金即被立即清空。
低价AI工具的后门投毒成为2025年上半年的新型威胁。慢雾科技协助处理的一起典型案例中,一位创业者的项目被盗数十万美元资产,其项目合约中被发现硬编码了一个授权钱包地址。提交代码的员工成为主要嫌疑人,但员工坚称自己并未写下那行代码,称这段内容是AI自己写的。调查发现,该员工曾通过非官方渠道购买了声称可"无限使用高级模型"的Cursor服务,并依照商家教程安装了相关工具。参考安全团队发布的文章,发现攻击手法与披露的投毒事件高度一致。攻击者以"全网最低价调用AI工具API"为诱饵,诱导开发者安装恶意npm包,这些依赖包一旦执行,便会对本地Cursor应用进行深度篡改,植入后门并远程接管代码环境。
"无限制"大型语言模型(LLM)的滥用现象在2025年上半年尤为突出。所谓"无限制LLM",是指那些被特意修改或"越狱",绕过主流模型的安全机制与伦理限制的模型。在加密领域,这类模型的滥用正在显著降低攻击门槛。攻击者可以获取开源模型权重和源码,再通过包含恶意内容的数据集进行微调(fine-tuning),打造出定制化的欺诈工具。
地下论坛中流行的恶意LLM包括WormGPT、DarkBERT、FraudGPT和GhostGPT等。WormGPT是一种在地下论坛出售的恶意LLM,开发者明确表示它没有任何道德限制。该模型基于如GPT-J6B等开源模型训练,并专门强化了与恶意软件相关的输出能力,最低仅需支付189美元即可使用一个月。其典型用途包括:钓鱼邮件生成、编写恶意代码以及自动化诈骗。FraudGPT是WormGPT的升级版本,在暗网与黑客论坛中以月费200−1,700的价格出售,其功能更强大,专为诈骗设计,可用于伪造加密项目、批量钓鱼页面生成、社交平台水军攻击以及聊天诱导式社工攻击。
这些无限制LLM的出现,让诈骗活动具备更强的规模化、自动化与欺骗性。在加密生态中,这类模型不仅被用于钓鱼、木马传播和社工欺诈,也正逐步渗透至智能合约攻击与深度伪造等高危领域。面对这种新型威胁,行业需要从加强钓鱼邮件识别与员工安全意识培训、推动模型"越狱检测"与内容水印技术的发展、提升LLM输出的可溯源性以及强化平台合规监管等多方面入手,构建全方位的防御体系。
2025年上半年,全球区块链监管环境发生显著变化,各国政府和国际组织围绕反洗钱、制裁、投资者保护等方面频繁出台新规,呈现出区域差异化但整体趋严的特征。稳定币正逐步演化为连接传统金融与链上金融的关键基础设施,全球主要金融机构与头部加密平台纷纷加快稳定币战略布局。
在亚洲地区,中国大陆新修订的《中华人民共和国反洗钱法》于2025年1月1日正式施行。最高检强调要一体贯彻反洗钱法和刑法"洗钱罪"等规定,准确适用相关司法解释,深化打击治理洗钱违法犯罪三年行动。2025年1月6日,由国家发展改革委、国家数据局、工业和信息化部联合印发的《国家数据基础设施建设指引》正式公布,明确提出利用区块链、加密技术与智能合约构建可信数据流通体系。中国香港在2025年2月19日正式发布新制定的ASPIRe路线图,提出五大支柱下的12项主要举措。5月30日刊宪《稳定币条例》,指定2025年8月1日为开始实施的日期。中国台湾金管会在3月25日发布「虚拟资产服务法」草案,进行为期60天公众咨询。
韩国金融服务委员会(FSC)于1月15日开始讨论制定第二阶段加密货币监管框架,计划于今年下半年起草相关法案。新加坡金融管理局(MAS)在5月30日发布最终政策文件,规定所有在新加坡注册或运营的加密服务提供商,若未取得DTSP牌照须在2025年6月30日前停止向境外客户提供加密货币服务。越南国民议会在6月14日批准了《数字技术产业法》,将数字资产纳入监管范围,并正式承认加密资产的合法地位,该法案将于2026年1月1日生效。
在欧洲地区,英国财政部修订后的《金融服务和市场法案》(FSMA)于1月31日生效,将加密货币质押排除在集体投资计划的分类之外。4月29日,英国财政大臣透露,英国已公布了监管加密资产的立法草案,根据新规,加密货币交易所、交易商和代理商将被纳入监管范围。欧盟于5月2日正式通过《反洗钱条例》(AMLR),将自2027年7月1日起禁止所有金融机构与加密服务商提供匿名加密账户或钱包,并全面禁用隐私币(如Monero、Zcash、Dash)交易。土耳其资本市场委员会(CMB)在3月13日发布了与CASP许可和运营相关的监管文性,包括加密货币交易所、托管人和钱包服务提供商。
北美地区监管变化最为显著。1月23日,美国总统签署加密货币行政令,确立支持数字资产和区块链技术发展的立场,其中包括建立总统数字资产市场工作组。4月2日,美国众议院金融服务委员会通过《STABLE法案》,旨在为美元稳定币建立监管框架。4月9日,美国司法部发布关于加密货币法律的官方声明,明确开发者不对代码被犯罪分子使用负责。6月18日,美国参议院以68票赞成、30票反对的结果通过了具有里程碑意义的加密货币立法《GENIUS法案》,标志美国首次通过涵盖全面监管改革的数字资产立法。
拉丁美洲和中东地区监管也在逐步完善。阿根廷国家证券委员会(CNV)在3月13日批准第1058号决议,为虚拟资产服务提供商(VASP)设立最终监管准则。萨尔瓦多国会于1月30日通过总统关于国家比特币法的改革提案,正式取消比特币作为法定货币的地位。迪拜虚拟资产监管局(VARA)在5月19日更新了数字资产交易规则手册,新规加强了对保证金交易的杠杆控制和抵押要求。5月25日,迪拜金融服务管理局(DFSA)正式批准Circle旗下稳定币USD Coin(USDC)和EURC为首批获认可稳定币。
在反洗钱实践方面,2025年上半年取得了显著进展。Tether共冻结209个ETH地址上的USDT-ERC20资产,Circle共冻结44个ETH地址上的USDC-ERC20资产。遭受攻击后仍能收回或冻结损失资金的事件共有9起,被盗资金总计约17.3亿美元,其中将近2.7亿美元被返还/冻结,占上半年总损失的11.38%。这一比例背后离不开多方协作应对和链上追踪能力的不断进步。
慢雾科技协助客户、合作伙伴及公开被黑事件冻结&追回资金约1,456万美元。典型案例是KiloEx事件——2025年4月15日,去中心化永续合约交易平台KiloEx遭遇黑客攻击,损失约844万美元。事件发生后,慢雾科技第一时间组织安全应急小组,联合KiloEx梳理攻击路径和资金流向,依托自研的链上反洗钱追踪分析平台MistTrack与InMist威胁情报网络,完成对攻击者信息和特征的画像提取,并协助项目方与攻击者展开多轮谈判。最终,在事件发生仅3.5天后,全部被盗资产844万美元被成功追回,KiloEx与攻击者达成10%白帽赏金协议。
以上就是关于2025年上半年区块链安全与反洗钱趋势的分析。总体来看,区块链行业在2025年上半年呈现出"合规加速、威胁升级、防御进化"的三大特征。全球监管框架正在快速成型,从美国的《GENIUS法案》到欧盟的《反洗钱条例》(AMLR),再到亚洲多国的稳定币监管,各国正在构建更加系统化的数字资产治理体系。与此同时,黑客攻击手法持续升级,从技术漏洞利用转向复合型社会工程攻击,Lazarus Group等国家级黑客组织活动猖獗,造成的单笔损失屡创新高。值得欣慰的是,行业防御能力也在同步进化,链上追踪技术、资金冻结机制和跨国协作网络日益成熟,为受害者提供了更多追回资产的可能性。
未来,区块链行业将面临更加复杂的挑战。一方面,生成式AI技术的普及将使深度伪造和自动化攻击变得更加普遍;另一方面,监管趋严可能带来合规成本的上升。行业参与者需要在技术创新、安全防护和合规建设三个维度同时发力,才能实现可持续发展。对于普通用户而言,提升安全意识、谨慎对待各类授权请求、使用硬件钱包等冷存储方案,仍然是保护资产安全的最有效方式。随着行业逐步走向成熟,"安全"将不再只是技术问题,而是成为区块链项目核心竞争力的重要组成部分。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
