2025年区块链安全与反洗钱年度报告

目录 一、前言3 二、区块链安全态势 3 2.1安全事件概览4 2.2年度损失Top 10攻击事件6 2.2.1 Bybit72.2.2 Cetus Protocol72.2.3 Balancer V272.2.4 Nobitex72.2.5 Phemex82.2.6 UPCX82.2.7 BtcTurk82.2.8 Infini82.2.9 CoinDCX92.2.10 GMX9 2.3欺诈手法9 2.3.1钓鱼攻击92.3.2社会工程攻击182.3.3供应链与开源生态投毒272.3.4恶意浏览器扩展与扩展生态风险332.3.5利用AI技术的攻击382.3.6资金盘诈骗45 三、反洗钱态势 51 3.1反洗钱及监管动态51 3.1.1执法与制裁行动3.1.2监管政策3.1.2.1亚洲 54 3.1.2.2欧洲58 3.1.2.3北美洲60 3.1.2.4拉丁美洲61 3.1.2.5中东62 四、总结103 五、免责声明104 六、关于我们105 一、前言 2025年，区块链行业继续高速演化，宏观金融环境、监管不确定性与攻击强度叠加，使全年安全态势显著复杂。一方面，黑客组织与地下网络犯罪呈现更强的组织化与专业化特征，朝鲜相关黑客仍高频活跃，信息窃取木马、私钥劫持与社工钓鱼成为全年主攻方向；DeFi生态风险持续暴露，Meme发行、权限管理等均多次引发大额损失，RaaS/MaaS服务化降低了犯罪门槛，让无技术背景的攻击者也能快速发动攻击。与此同时，地下洗钱体系不断成熟，东南亚地区诈骗集群、隐私工具与混币设施构成多层级资金通道。在监管端，各国加速推进加密资产AML/CFT框架落地，美国、英国、欧盟及亚洲地区开展多起跨境执法行动，链上追踪、情报协作与资产冻结效率显著提高，跨国执法从以往的单点打击迈向系统化围堵。值得关注的是，不同类型隐私协议的法律边界正在被重新定义，监管逐步从“一刀切制裁”转向区分技术属性与犯罪用途的更精细路径，技术自由与法律责任之间的界线比以往更清晰。 作为区块链安全领域的先行者，慢雾(SlowMist)持续在威胁情报、攻击监测、追踪溯源和合规支持方面深耕，协助多起黑客资金溯源与冻结。本报告聚焦2025年关键安全事件、APT组织活动趋势、资金洗钱模型演变及监管执法进展，希望能为行业从业者、安全研究人员与合规负责人提供及时、系统、具有洞察力的安全合规参考，提升对风险的识别、响应与预判能力。 二、区块链安全态势 2025年，区块链行业仍面临着严峻的安全挑战。根据慢雾区块链被黑事件档案库（SlowMistHacked）不完全统计，全年共发生安全事件200起，造成损失约29.35亿美元。相比2024年（410起，损失约20.13亿美元），尽管事件数量明显下降，但损失金额却同比上升约46%。（注：本报告数据基于事件发生时的代币价格，由于币价波动、部分未公开事件以及普通用户的损失未纳入统计等因素，实际损失应高于统计结果） 2.1安全事件概览 （1）按生态分布 ●Ethereum仍是最主要的受攻击生态，相关损失约2.54亿美元；●BSC其次，损失约2193万美元；●Solana位列第三，损失约1745万美元。 （2）按项目类型 ●DeFi项目是最常遭攻击的领域：2025年共发生126起安全事件，约占全年总数的63%，损失约6.49亿美元。相较2024年（339起，损失10.29亿美元）损失下降约37%。 ●交易平台事件仅12起，却造成高达18.09亿美元损失，其中Bybit单次即损失约14.6亿美元，是全年最严重事件。 （3）按攻击原因 ●合约漏洞是主要诱因，共61起；●X账号被黑紧随其后，共48起。 2.2.1 Bybit 2月21日，链上侦探ZachXBT披露Bybit平台出现异常大额资金转出，最终确认本次事件造成超过14.6亿美元的加密资产被盗，成为近年来损失金额最大的加密货币安全事件之一。事件发生后，慢雾(SlowMist)第一时间结合攻击者获取Safe多签权限的方式及后续洗币行为进行研判，判断攻击者可能来自朝鲜黑客组织。进一步分析显示，攻击者先获取了app.safe.global前端代码的控制权，并以此为入口，对Bybit使用的Safe{Wallet}多签钱包实施了精准攻击。事后，Safe与Bybit联合发布安全调查公告，确认攻击源自Safe{Wallet}的AWS基础设施（可能涉及S3 /CloudFront账户或API Key泄露或被入侵），Bybit自身基础设施并未遭到攻击。 2.2.2 Cetus Protocol 5月22日，Sui生态流动性提供商Cetus Protocol遭受攻击，多个流动性池深度大幅下降，平台内多条代币交易对价格出现明显下跌，初步估算损失金额超过2.3亿美元。随后，项目方宣布已通过验证者冻结机制追回约1.62亿美元资产。慢雾(SlowMist)分析确认本次攻击的根本原因主要来自两方面：其一，Cork机制允许用户通过CorkConfig合约创建以任意资产作为赎回资产（RA）的市场，使攻击者得以将DS设定为RA；其二，任意用户均可在无需授权的情况下调用CorkHook合约的beforeSwap函数，并传入自定义hook数据执行CorkCall操作，从而使攻击者能够操纵流程，将合法市场中的DS转移至另一市场并作为RA使用，进而获取对应的DS与CT代币。 2.2.3 Balancer V2 11月3日，DeFi协议Balancer V2遭遇漏洞攻击，受影响对象为可组合稳定池（ComposableStable Pools）。此次攻击在以太坊、Arbitrum、Base、Optimism和Polygon上共造成1.211亿美元的资产损失。慢雾(SlowMist)分析确认攻击的根本原因在于Stable Pool “exact-out”交换路径中存在四舍五入方向错误，该缺陷在汇率提供者引入的精度误差以及极低流动性环境下被进一步放大，导致攻击者得以操控池内不变式并扭曲BPT的价格计算，从而以显著低于真实成本的方式大规模提取池内资产。11月19日，Balancer发布事后分析报告称，在问题被发现后，各方迅速协调并部署了多项安全措施，最终约4,570万美元的用户资金得以保护或追回。 2.2.4 Nobitex 6月18日，总部位于伊朗的加密货币交易所Nobitex遭遇黑客攻击。经平台确认，攻击者将资金转入带有反伊朗革命卫队标语的销毁地址，销毁约1亿美元加密资产，明显带有“心理破坏”的意图。自称为“Gonjeshke Darande”（意为“掠夺之雀”，又称Predatory Sparrow）的亲以色列黑客组织 宣称对此次攻击负责，并在24小时内公布了该平台的源代码和内部数据。据悉，该组织与以色列存在关联，并指责Nobitex是“资助恐怖主义、规避制裁的关键政权工具”。 2.2.5 Phemex 1月23日，总部位于新加坡的加密货币交易所Phemex热钱包遭到攻击，造成约7,000万美元的资产损失，涉及多个链和代币。多位区块链安全专家认为，此次事件可能与朝鲜相关黑客组织TraderTraitor有关。2月20日，链上监测显示，攻击者开始对被盗资金进行拆分和转移，部分资产流入Tornado Cash等混币服务。 2.2.6 UPCX 4月1日，区块链支付平台UPCX的官方地址遭到未授权访问。攻击者疑似获取了管理员权限，通过升级ProxyAdmin合约并调用withdrawByAdmin函数，从三个管理账户中转移了共计约1,840万枚UPC（约7,000万美元）。事件发生后，平台随即紧急暂停UPC的充值与提现操作。4月4日，UPCX在社交平台发文表示，项目方仍实际掌控约18,473,290枚UPC，将继续推进相关UPC的转移操作。 2.2.7 BtcTurk 8月14日，土耳其加密货币交易所BtcTurk疑似再次遭遇黑客攻击，损失约5,400万美元，涉及ETH、AVAX、ARB、Base、Optimism、Mantle和MATIC等多个链。链上数据显示，大部分被盗资产集中流向两个地址，疑似为协同攻击行为，且攻击者已将全部被盗资金兑换为ETH。BtcTurk随后承认其热钱包出现“异常活动”，并暂停平台的充值与提现功能，待调查完成后再行恢复。 2.2.8 Infini 2月24日，专注于稳定币的加密货币新型银行Infini遭攻击，攻击者获取了一个拥有管理员权限的钱包，并盗走公司近5,000万美元资金。Infini创始人Christian发推表示，个人私钥未泄露，事件源于此前转交权限时的操作疏忽。3月20日，Infini向攻击者发送链上消息，附上法院诉讼文件，指控前员工Chen Shanxuan涉嫌盗取约4,950万USDC，并申请冻结相关资产及披露交易信息。8月11日，Infini再次通过链上消息向攻击者发出信息，表示若在8月13日20:00前归还被盗资金，将不再采取进一步法律行动，攻击者可保留全部利润作为白帽赏金。 2.2.9 CoinDCX 7月19日，链上侦探ZachXBT于其个人频道发文称：“看起来印度的中心化交易平台CoinDCX可能在大约17小时前被盗，损失约4,420万美元。”不久后，该公司联创Sumit Gupta回应称，Sumit披露受到攻击的钱包是一个仅用于提供流动性的内部运营账户，客户的资金因储存在安全的冷钱包中而并未受到影响，交易和提款将恢复正常，攻击产生的全部损失将由CoinDCX的储备金承担。7月31日，据FinanceFeeds报道，CoinDCX的一位软件工程师因涉及协助攻击被捕。攻击者以兼职工作为由向该软件工程师的电脑中安装恶意软件，并支付高额兼职薪资。该恶意软件是一款复杂的键盘记录器，攻击者借此获取登录凭证并访问CoinDCX的内部系统，最终导致了此次事件。 2.2.10 GMX 7月9日，据慢雾MistEye安全监控系统监测，知名去中心化交易平台GMX遭攻击，损失价值超4,200万美元的资产。经慢雾(SlowMist)分析，本次攻击的核心在于攻击者利用了Keeper系统执行订单时会启用杠杆，以及做空时会更新全局平均价格而平空却不会更新的这两个特性，通过重入攻击创建大额空头头寸，操控了全局空头平均价格和全局空头仓位规模的值，从而直接放大了GLP价格来赎回获利。7月19日，GMX在X平台发布事件后续进展。经过协商，攻击者返还了所有被盗资金，并获得500万美元赏金。 2.3欺诈手法 2025年，区块链生态中的诈骗与侵入式攻击手法继续升级，呈现出更强的迷惑性与渗透能力。从传统钓鱼逐步演化为权限劫持、恶意代码执行和供应链投毒，攻击不再依赖单一方式，而是结合社会工程、浏览器机制、新协议特性与混合型诱导策略，形成更具隐蔽性和破坏性的攻击链条。以下是2025年值得重点关注的几种典型或新型的欺诈手法。 2.3.1钓鱼攻击 2025年钓鱼仍是最活跃的风险点之一，攻击方式从简单仿站、假授权页面，扩展到结合系统命令、钱包权限、协议特性甚至设备控制的复合手法。许多攻击不再直接索要助记词，而是诱导用户自己“按步骤完成盗取过程”，形成更加隐蔽且破坏力更强的攻击方式，钓鱼攻击的影响范围显著扩大。 （1）Clickfix钓鱼攻击 Clickfix钓鱼攻击是一类典型的“前端交互型钓鱼”，其核心并非直接诱导用户转账或授权，而是通过高度拟真的网页交互，诱导用户主动执行恶意操作。攻击者通常仿冒用户熟悉的安全验证流程，例如机器人校验、异常修复或安全检查页面，使整个过程看起来与日常上网体验并无明显差异。 在实际攻击过程中，当用户点击验证按钮或勾选校验框时，钓鱼网站会在后台将恶意命令悄然写入系统剪贴板，并进一步引导用户通过快捷键或系统运行窗口“完成验证”。这一过程往往伴随着明确的操作指引，使用户误以为只是一次必要的验证步骤。命令一旦被执行，恶意脚本便会从远程服务器下载并运行后续程序，在本地建立