2025年区块链安全与反洗钱年度报告

由于篇幅限制，本文仅展示分析报告中的要点。完整内容可以通过末尾的 PDF 链接下载。

I. 概述

2025年，区块链行业持续快速发展，宏观经济形势、监管不确定性和日益激烈的攻击活动相结合，使得整体安全形势变得更加复杂。具体而言，黑客集团和地下犯罪网络已经高度专业化，与朝鲜有关联的黑客经常活动。信息窃取恶意软件、私钥劫持和社会工程网络钓鱼成为主要的攻击方法。此外，DeFi 权限管理和 Meme 代币发行反复导致重大损失。RaaS（勒索软件即服务）和 MaaS（恶意软件即服务）的服务导向型模式降低了网络犯罪的入门门槛，使没有技术背景的攻击者能够快速执行攻击。与此同时，地下洗钱系统持续成熟，东南亚诈骗团伙，隐私工具和混合服务形成了多层资金流。

在监管方面，各国加快了 AML/CFT 框架的实施，多项跨境执法行动提高了链上追踪和资产冻结效率。监管正逐渐从孤立的干预转变为系统的遏制，同时隐私协议的法律边界正在被重新定义，以更好地区分技术特性和犯罪用途。

在此背景下，本报告深入分析了 2025 年的典型区块链安全事件和攻击技术、APT 组织活动趋势、洗钱模式的演变以及全球监管执法的进展。我们的目标是使本报告成为行业从业者、安全研究人员和风险合规官及时、结构化和有见地的参考，增强他们识别、响应和预测风险的能力。

II. 区块链安全趋势

根据 SlowMist 旗下的区块链安全事件档案 SlowMist Hacked 的不完全统计，该年度共发生 200 起安全事件，造成约 29.35 亿美元的损失。相比之下，2024 年发生了 410 起事件，损失约 20.13 亿美元。虽然事件数量同比有所下降，但损失总额增加了约 46%。

（注：本报告中的数据基于每个事件发生时的代币价格。由于价格波动、未报告的案例以及不包括个人用户损失，实际损失金额可能高于所列数字。）

https://hacked.slowmist.io/

区块链安全事件概述

从生态系统分布的角度来看，以太坊仍然是攻击最频繁且损失最大的，年度总损失约为 2.54 亿美元，遥遥领先于其他生态系统。BSC 紧随其后，相关损失约为 2193 万美元，而 Solana 排名第三，年度损失约为 1745 万美元。

2025 年各生态系统安全事件的分布和损失

按项目细分，DeFi 仍然是最常被攻击的领域：2025 年共发生 126 起安全事件，约占全年总数的 63%，造成约 6.49 亿美元的损失——与 2024 年相比下降了约 37% (339 起事件，损失 10.29 亿美元)。与交易所相关的事件仅有 12 起，但造成的损失高达 18.09 亿美元，仅 Bybit 一起事件就约占 14.6 亿美元，是年度最严重的事件。

2025 年不同领域安全事件的分布和损失

就攻击原因而言，合约漏洞是主要触发因素，占 61 起事件，其次是账户被盗，占 48 起事件。

2025 年安全事件原因分布

典型攻击事件

本节重点介绍 2025 年损失最高的 10 起安全攻击事件。有关完整详细信息，请参阅末尾的 PDF 文件。

2025 年损失最高的 10 起安全攻击事件

诈骗技巧

以下是 2025 年几个值得密切关注的典型新兴欺诈技术。

网络钓鱼攻击

2025 年，网络钓鱼仍然是最活跃的风险载体之一，其技术已经远远超出了传统的假网站和伪造授权页面。攻击者现在结合系统命令、钱包权限、协议机制，甚至设备控制来执行复合攻击。现代网络钓鱼方法不再是简单地要求用户泄露助记词，而是越来越依赖于引导式操作，诱骗用户在不知不觉中完成自己资产的转移。这些攻击更隐蔽、更具欺骗性，并大大扩大了受害者的范围。

本小节重点介绍四种具有代表性的网络钓鱼模式：ClickFix 网络钓鱼攻击、Solana 钱包 Owner 权限篡改、EIP-7702 授权滥用以及虚假保护诈骗。

社会工程攻击

2025 年，社会工程攻击在与区块链相关的事件中呈现出明显的上升趋势，越来越成为连接网络钓鱼、恶意软件部署和资产盗窃的关键入口点。这些攻击的核心是操纵信任，利用身份冒充、情感压力和信息不对称来引导受害者主动配合高风险行为。攻击者通常不会立即窃取资产，而是经常进行多轮互动以逐步建立可信度，最终诱导受害者下载恶意软件、泄露私钥或将资金转移到攻击者控制的地址。

本小节分析了三种具有代表性的社会工程攻击类型，包括虚假求职面试诈骗、冒充提供指导的“安全专家”以及伪造的硬件钱包。

供应链和开源生态系统投毒

2025 年，软件供应链攻击在区块链安全领域仍然非常活跃。攻击者不再仅仅关注破坏知名的库或核心基础设施，而是越来越多地针对开源项目、开发者工具和依赖项分发链。通过注入恶意代码，他们实现了针对下游用户的间接和大规模攻击。

这些攻击通常不是针对单个受害者，而是通过受信任的软件组件传播，使其影响范围广泛、难以追踪，并且非常有能力与社会工程策略相结合。本小节详细分析了 2025 年观察到的几种反复发生的投毒事件。

恶意浏览器扩展和扩展生态系统风险

浏览器扩展在 Web3 用例中无处不在。无论是钱包插件、代理工具、安全辅助扩展，还是开发者常用的生产力工具，这些扩展通常都具有很高的权限，在后台运行并支持自动更新。一旦受到破坏或恶意利用，它们可以隐秘地窃取用户的数据，并且在某些情况下，还会直接导致资产损失。本小节总结了 Web3 场景中浏览器扩展的安全风险，并基于代表性案例进行了分析。

使用 AI 技术进行攻击

随着生成式 AI 在过去两年中的加速采用，攻击者已经开始将其纳入欺诈和攻击链中。与传统工具相比，AI 在文本、语音合成、图像和视频生成方面的能力大大降低了诈骗的成本。攻击不再依赖于粗糙的脚本或明显可疑的行为，而是使用高度真实的内容、连贯的互动和精确的定位，使得受害者在心理上更难识别风险。本小节总结了生成式 AI 在加密货币和企业安全领域被滥用的风险。

庞氏骗局

2025 年，庞氏骗局仍然是最普遍的数字资产欺诈形式之一。与传统的庞氏模型不同，新一代项目倾向于用“区块链金融”、“大数据技术”或“国际交易平台”等标签来伪装自己，并通过分层佣金结构迅速扩张。本小节总结了 2025 年一个典型的数字资产庞氏骗局案例——新康家 DGCX 的运营模式和风险特征。

III. 反洗钱趋势

本节主要涵盖三个方面：反洗钱和监管动态、资金冻结/追回数据以及网络犯罪组织和地下网络生态系统。

AML 和监管动态

执法和制裁行动

2025 年，全球加密资产领域的执法和制裁行动显着升级。全球的监管和执法机构不再仅仅发布政策或合规指南，而是直接干预加密货币洗钱、欺诈、规避制裁和通过资产冻结、实体制裁、刑事起诉和跨境联合行动进行非法融资等关键领域。执法范围继续深入渗透，涵盖交易所、基础设施服务提供商，甚至是个人的链上地址。

本小节重点介绍 2025 年四个领域的执法动态：打击恶意软件、暗网活动和网络犯罪基础设施；加密货币交易所 Garantex 的关键监管和刑事责任；针对欺诈、庞氏骗局和“杀猪盘”犯罪网络的联合行动；以及加密服务中不合规和非法运营的处罚案例。

监管政策

2025 年，全球加密资产监管进入了结构化和系统化推进的阶段。各国的政策逐渐从之前的“探索性监管”转变为“明确规则实施和统一框架构建”。合规性被广泛认为是加密市场发展的先决条件，高频政策侧重于税务透明度、反洗钱/KYC、托管安全和信息披露。本小节总结了 2025 年不同国家的监管政策发展情况，详细条目见文末的附录 PDF。

冻结/追回资金数据

2025 年，Tether 共冻结了 576 个以太坊地址上的 USDT-ERC20 资产，Circle 共冻结了 214 个以太坊地址上的 USDC-ERC20 资产。

2025 年，共有 18 起在攻击后丢失的资金仍然可以追回或冻结的事件。在这 18 起案件中，被盗资金总额约为 19.57 亿美元，其中近 3.87 亿美元被追回或冻结，占 2025 年总损失的 13.2%。

此外，在 SlowMist InMist Lab 威胁情报网络的强大支持下，SlowMist 协助客户、合作伙伴和公开披露的黑客事件在 2025 年冻结或追回了约 1929 万美元。

网络犯罪组织和地下网络生态系统

朝鲜黑客

根据 MSMT 2025 年的一份研究报告，从 2024 年 1 月到 2025 年 9 月，与朝鲜相关的黑客组织攻击了全球的加密货币交易所、钱包服务提供商、多重签名基础设施和 Web3 生态系统公司，总共窃取了至少 28.37 亿美元的加密资产。其中，仅在 2025 年的前九个月就窃取了约 16.45 亿美元，创下历史新高。

本小节总结了 2025 年朝鲜黑客的活动模式，包括其主要的组织结构和角色分工、核心攻击技术和目标领域，以及洗钱和链上资金流动的“工业化工作流程”。它进一步揭示了一种通过 IT 外包和“合法就业洗钱”实现的隐蔽的资金投入模式。

Drainer

本报告分析了 EVM 生态系统中 Wallet Drainer 网络钓鱼攻击的最新趋势，为行业从业者和用户提供见解，以更好地保护其资产。特别感谢 ScamSniffer 对此分析的宝贵贡献。

• 总损失：来自 106,106 名受害者的 8385 万美元——分别比 2024 年下降了 83% 和 68%。
• 单笔最大盗窃案：通过 Permit 签名获得 650 万美元（9 月）。
• 主要签名类型：Permit 仍然是主要的；EIP-7702 恶意签名在 Pectra 升级后出现，在 8 月份发生了 2 起大型案例。

Huione 集团

随着在线诈骗和跨境洗钱活动在东南亚持续蔓延，以 Huione 集团及其子公司 HuionePay 和 Huione Guarantee 为代表的平台已成为全球监管机构和执法机构的主要目标。本小节概述了 Huione 生态系统的服务扩展轨迹、其链上资金的当前活动，并强调了其面临的跨境联合执法和监管压力。

勒索软件/恶意软件

勒索软件和信息窃取恶意软件仍然是 2025 年加密资产盗窃和非法利润的主要工具。MaaS / RaaS（恶意软件/勒索软件即服务）的商业化进一步降低了入门门槛，使许多没有技术背景的犯罪者能够使用统包服务发起攻击——助长了不断扩张的网络犯罪供应链。在过去的一年中，多个国家的执法机构对核心团伙进行了多次重大行动。本小节使用 LockBit 和 LummaC2 作为代表性案例进行了详细分析。

隐私/混币工具

在加密货币洗钱生态系统中，隐私协议和混币工具长期以来发挥着关键作用。它们既服务于重视隐私的合法用户，也为网络犯罪组织、勒索软件团伙和地下洗钱网络提供重要渠道，以绕过监管。基于对 2025 年典型监管和执法案例的分析，本小节发现隐私技术与非法滥用之间的界限正在被重新定义，监管方法逐渐从“全面打击”转变为“区分用途和责任”。

IV. 结论

回顾 2025 年，区块链安全和反洗钱生态系统呈现出三个主要特征：更加专业的攻击技术、日益隐蔽的犯罪网络和更强的监管执法力度。 虽然安全事件的数量趋于稳定，但结构性变化显着，权限管理、社会工程攻击和私钥泄露方面存在持续风险。地下工具的“服务导向”性质使即插即用攻击成为现实，将风险从技术层扩展到用户和供应链。

洗钱网络继续围绕东南亚诈骗、朝鲜攻击资金和隐私/混币工具运作。与此同时，监管进入了跨境协调压制阶段，多个国家同时实施 AML/FATF 框架，通过地址查封、资产冻结和追究混币运营者的责任来收紧犯罪分子的空间。安全和合规性已从“附加能力”转变为商业生存的门槛，该行业的竞争重点不再是技术叙事，而是谁能够建立可持续的安全和合规性框架。

为了顺应这一趋势，SlowMist 继续推进 AI 驱动的安全和合规能力。我们坚信，安全绝不应被理解为一次性的“项目审计”或“紧急跟踪”，而应被理解为涵盖事件发生前、发生中和发生后的威胁检测和防御的全面、集成的闭环系统。事件发生前的措施包括安全审计和培训；事件发生中的措施包括链上监控和实时黑客活动检测；事件发生后的措施包括跟踪、取证和应急响应。在实践中，SlowMist 通过其产品和服务将这种闭环能力投入运营，包括 MistEye（一种基于威胁情报模型的 Web3 威胁早期预警和动态监控系统）， MistTrack （链上分析和 AML/KYT 合规跟踪平台），InMist Lab（全球威胁情报协作网络）以及攻防运营和审计服务。在 AI 的支持下，这些功能能够实现自动化、智能化和实时的威胁识别、跟踪、取证和合规性支持，为行业提供强大、长期的安全基础。 ](https://www.slowmist.com/report/2025-Blockchain-Security-and-AML-Annual-Report(EN).pdf)

关于 SlowMist

SlowMist 是一家专注于区块链安全的威胁情报公司，成立于 2018 年 1 月。该公司由一支拥有超过十年网络安全经验的团队创立，旨在成为全球性的力量。我们的目标是使区块链生态系统对每个人都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾参与过各种知名项目，如HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com等。

SlowMist 提供多种服务，包括但不限于安全审计、威胁信息、防御部署、安全顾问和其他安全相关服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，如 Akamai、BitDefender、RC²、TianJi Partners、IPIP 等。我们在加密货币犯罪调查方面的大量工作已被包括联合国安全理事会和联合国毒品和犯罪问题办公室在内的国际组织和政府机构引用。

通过提供针对各个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布多个高风险区块链安全漏洞。通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/2025...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～