2025上半年区块链安全与反洗钱报告

目录 一、前言2 二、区块链安全态势 2.1安全事件回顾22.2欺诈手法42.2.1利用EIP-7702钓鱼42.2.2利用深度伪造(Deepfake)诈骗62.2.3 Telegram假Safeguard骗局102.2.4恶意浏览器扩展132.2.5 LinkedIn招聘钓鱼182.2.6社交工程攻击212.2.7低价AI工具的后门投毒232.2.8无限制大型语言模型(LLM)25 三、反洗钱态势 28 3.1全球监管动态 3.1.1亚洲3.1.2欧洲3.1.3北美洲3.1.4拉丁美洲3.1.5中东 3.2资金冻结和归还数据 3.3组织动态3.3.1 Lazarus Group3.3.2 Drainers3.3.3 HuionePay 364750 3.4混币工具3.4.1 Tornado Cash3.4.2 eXch 575759 四、总结五、免责声明六、关于我们 61 63 一、前言 2025年上半年，区块链行业在高速发展的同时，也持续承压于日益复杂的安全威胁与合规挑战。一方面，黑客攻击持续活跃，APT组织攻击手段趋于模块化、系统化，钓鱼与社工攻击泛滥，造成重大资产损失和用户信任危机。另一方面，全球监管加速演进，各国政府和国际组织围绕反洗钱、制裁、投资者保护等方面频繁出台新规。值得关注的是，稳定币正逐步演化为连接传统金融与链上金融的关键基础设施，全球主要金融机构与头部加密平台纷纷加快稳定币战略布局。除此之外，黑产资金流转模式不断演变，链上追踪技术与情报协作机制也持续进化，监管机构与头部平台的合作日益密切，资金冻结与追回案例显著增加，对链上犯罪与非法资金形成更强震慑。 作为区块链安全领域的先行者，慢雾(SlowMist)持续在威胁情报、攻击监测、追踪溯源和合规支持方面深耕。在此背景下，本报告聚焦2025年上半年的重大安全事件、全球监管演进以及链上反洗钱趋势。希望本报告能为行业从业者、安全研究人员与合规负责人提供及时、系统、具有洞察力的安全合规参考，提升对风险的识别、响应与预判能力。 二、区块链安全态势 2.1安全事件回顾 2025年上半年，区块链领域依旧面临严峻的安全挑战。根据慢雾区块链被黑事件档案库(SlowMist Hacked)的不完全统计，上半年共发生121起安全事件，造成损失约23.73亿美元。对比2024上半年（共223件，损失约14.3亿美元），虽然事件数量有所下降，但整体损失金额却同比增长了约65.94%。（注：本报告数据基于事件发生时的代币价格，由于币价波动、部分未公开事件以及普通用户的损失未纳入统计等因素，实际损失应高于统计结果） （1）从生态维度看 Ethereum依然是攻击重灾区，相关损失约3,859万美元。其次是Solana，损失约580万美元，再者为BSC，损失约549万美元。 （2）从项目类型看 DeFi是最常受到攻击的类型。2025上半年DeFi类型安全事件共92件，占事件总数（121起）的76.03%，损失高达4.7亿美元，对比2024上半年（共158件，损失约6.59亿美元），损失同比下降28.67%。 其次是交易所平台相关事件共11起，但损失金额却高达18.83亿美元，其中以Bybit被攻击最为严重，单起事件造成约14.6亿美元损失。 （3）从损失规模看 上半年有2起事件损失超过1亿美元，前十大攻击事件共计损失20.18亿美元。 （4）从攻击原因看 账号被黑导致的安全事件最多，达42件。其次为合约漏洞导致的安全事件，达35件。 2.2欺诈手法 除了直接攻击项目或协议，围绕普通用户的“骗术”也在快速进化。以下是2025年上半年值得重点关注的几种典型或新型的欺诈手法。 2.2.1利用EIP-7702钓鱼 5月24日，一位用户因EIP-7702授权操作遭遇钓鱼攻击，导致损失达146,551美元。攻击由知名钓鱼团伙Inferno Drainer发起，其手法利用了EIP-7702的新特性。具体来说，此次并非通过钓鱼方式把用户的EOA地址切换为7702合约地址，即delegated address并非钓鱼地址，而是几天前就存在的MetaMask: EIP-7702 Delegator(0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B)： 钓鱼利用了MetaMask: EIP-7702 Delegator里的机制来完成受害者地址有关token的批量授权钓鱼盗币操作。 此类钓鱼攻击之所以高效，根本原因在于EIP-7702带来的委托机制变更——用户的EOA地址可以被授权给某个合约，使其具备这个合约的特性（如批量转账、批量授权、gas代付等）。如果用户将地址授权给一个恶意合约，就会存在风险，如果用户将地址授权给一个正规的合约，但被钓鱼网站恶意利用了合约的特性，也会存在风险。此外，一些防钓鱼工具无法准确捕捉批量授权操作的风险，也为钓鱼团伙创造了可乘之机。 除了上述案例，我们也注意到围绕EIP-7702委托机制存在的更广泛安全风险： ●私钥泄露：即便EOA在委托后可以借助智能合约内置的社交恢复等手段解决因私钥丢失导致的资金损失问题，但它仍然无法避免EOA私钥被泄露的风险。对于用户来说，在使用委托后的账户时，用户仍应该将私钥保护放在首位，时刻注意：Not your keys, not yourcoins。●多链委托中的合约代码不一致：用户在签署委托授权时，能通过chainId选择委托可以生效的链，当然用户也可以选择使用chainId为0进行委托，这使得委托可以在多链上重放生效，以方便用户一次签名即可在多链上进行委托。但需要注意的是，在多链上委托的同 一合约地址中，也可能存在不同的实现代码。用户也应该注意，在不同链上的相同合约地址，其合约代码并不总是相同，应先了解清楚委托的目标。 ●钱包初始化中的权限验证：对于开发者来说，在将EIP-7702与现有的EIP-4337钱包进行组合适配时，应该注意在钱包的初始化操作中进行权限检查（例如通过ecrecover恢复签名地址进行权限检查），以避免钱包初始化操作被抢跑的风险。 ●重新委托带来的存储结构兼容性问题：用户在使用EIP-7702委托功能时，可能会因为功能需求变更、钱包升级等，需要重新委托到不同的合约地址。但不同合约的存储结构可能存在差异（如不同合约的slot0插槽可能代表不同类型的数据），在重新委托的情况下，有可能导致新合约意外复用旧合约的数据，进而引发账户锁定、资金损失等不良后果。对于用户来说，应该谨慎处理重新委托的状况。 总体来说，EIP-7702的确为钱包体验带来了新可能，但新的能力也伴随着新的风险边界。用户在签名前，务必弄清楚自己授权的是谁、能做什么。 2.2.2利用深度伪造(Deepfake)诈骗 随着生成式人工智能技术的飞速发展，利用深度伪造(Deepfake)技术进行的“信任型诈骗”迅速兴起。这类诈骗的本质为，攻击者利用AI合成工具伪造知名项目方创始人、交易所高管或社群KOL的音视频形象，引导公众对项目进行投资；或者通过虚假安全专家的指示，诱导受害者进行进一步授权和转账；更有甚者，攻击者通过Deepfake技术结合受害者照片制作动态画面，尝试绕过交易所或钱包平台的KYC系统，进而控制账户、盗取资产。这些伪造内容往往具备极高的逼真度，使得普通用户难以辨别真伪。以下是几个主要的典型场景： （1）伪造名人视频引导投资 深伪技术让诈骗者可以轻松“请到名人站台”，例如，新加坡前总理李显龙与副总理黄循财的视频遭伪造，被用于推广所谓“政府背书的加密投资平台”： 特斯拉CEO马斯克“频频现身”虚假投资赠送活动中： 这类视频多通过X、Facebook、Telegram等平台传播，关闭评论功能营造“官方权威”的既视感，诱导用户点击链接或投资特定代币。这种攻击利用用户对“权威人士”或“官方渠道”的天然信任，极具迷惑性。 （2）虚拟身份投资诈骗 2024至2025年间，香港、新加坡警方陆续捣破多个Deepfake驱动的诈骗集团。以2025年初香港警方破获的一起案件为例，警方拘捕31人，涉案金额高达3400万港元，受害者遍布新加坡、日本、马来西亚等多个亚洲国家。这类组织通常具有以下特点： ●使用传媒专业毕业生技术协助，制作精致的虚拟身份与内容；●在Telegram建立大量“钓鱼群”，由“高学历、温柔可亲”的虚假身份接近目标；●利用“交友—引导投资—提现障碍”的套路诱骗用户投资“虚假平台”；●模拟对话记录、客服聊天、收益截图，构建“真实可信”的平台运营假象；●设置“激活算力”、“提现审核”等障碍，诱导持续充值，构建资金盘。 （3）Deepfake伪装Zoom会议 诈骗者冒用Zoom名义发送虚假会议邀请，链接诱导下载带有木马的“会议软件”。在会议过程中，所谓“与会者”甚至使用Deepfake视频伪装为高管或技术专家，诱导受害者进一步点击、授权或转账。一旦中招，诈骗者即可远程控制设备、窃取云端数据或或本地私钥、助记词。例如，Hypersphere投资合伙人Mehdi Farooq遭遇一起高度拟真的社交工程攻击，导致其六个加密钱包被清空，损失多年积蓄。该事件起始于他在Telegram上收到一位熟人“Alex Lin”发来的消息，对方提出以“合规要求”为由，邀请他参加一次Zoom Business版会议，并声称会有另一位熟人参与。Farooq未起疑心，随即下载了对方提供的“升级版本”安装包。会议期间，Farooq遭遇音频异 常，对方随即“协助”其更新Zoom客户端，而正是这一更新触发了系统后门。数分钟内，攻击者接管了他的设备并迅速清空了六个钱包。更具迷惑性的是，在攻击执行的同时，对方仍通过Telegram模拟正常聊天，甚至轻松调侃“新加坡见”，极大削弱了受害人的警觉性。事后确认，真正的Alex Lin账号早已被黑，整个攻击行动疑似与朝鲜背景黑客组织“dangrouspassword”有关联。 此次事件攻击者不仅伪装熟人，还通过虚假音频营造可信氛围。技术引导与心理操控的结合，使人极难识破骗局。尤其在生成式AI快速普及的当下，视觉与听觉早已不再构成信任的依据，任何涉及资产、权限、下载行为的信息互动都应被高度审慎对待。 面对可能的Deepfake攻击，有以下建议： ●不轻信社交平台上出现的“官方视频”，特别是无法评论的视频；●警惕陌生联系人诱导你转入“第三方平台”，尤其带有“充值激活”“提现审核”等套路；●不要轻易下载陌生会议软件或通过聊天软件收到的安装包。 2.2.3 Telegram假Safeguard骗局 2025年初，大量用户在Telegram平台遭遇假Safeguard骗局，最终导致资产被盗或设备中毒。该类骗局以诱导用户执行剪贴板中的恶意代码为核心，借助代币空投、仿冒KOL帖子等高频场景广泛撒网，引发严重安全后果。即便是经验丰富的玩家，也可能在FOMO情绪和“官方验证”的假象下中招。 此类骗局主要分为两种，一种是盗取Telegram账号，骗子通过诱导用户输入手机号、验证码，甚至Two-Step Verification密码来窃取其Telegram账号，另一种是往用户电脑植入木马，也是出现较多的手法。 骗子常常创建假冒KOL的X账号，并在评论区附上Telegram链接，邀请用户加入“独家”Telegram群组以获得投资信息。进入该Telegram Channel后，用户会被引导进行验证。点击Tapto verify后，会打开一个假冒的Safeguard bot，表面上显示正在进行验证，该验证窗口持续时间极短，营造出一种紧迫感，迫使用户继续操作。 继续点击，结果“假装”显示验证不通过，最终让用户手动验证的提示界面出现了： 骗子很”贴心“地配置了Step1, Step2, Step3，此时用户的剪贴板里已经有恶意代码，如果用户真的按照指南打开运行框，并Ctrl + V把恶意代码内容粘贴进运行框里，此时的状态就如下