目录 一、前言1 二、区块链安全态势2 2.1安全事件概览32.2攻击手法52.2.1钓鱼攻击52.2.2社会工程攻击152.2.3供应链投毒182.2.4 AI驱动的攻击242.2.5密码学攻击32 三、反洗钱态势35 3.1全球监管动态 35 3.1.1亚洲353.1.2中东383.1.3欧洲393.1.4美洲403.1.5非洲413.1.6大洋洲41 3.2资金冻结/归还数据 3.3网络犯罪组织及动态3.3.1 Lazarus Group3.3.2 Drainers 3.4隐私协议50 四、总结五、免责声明六、关于我们 53 53 54 一、前言 2026年上半年,区块链行业在持续快速发展的同时,安全威胁与监管环境也进入新的演进阶段。随着DeFi、跨链基础设施及AI Agent等新兴应用不断发展,攻击面持续扩大,攻击目标已从智能合约延伸至开发者生态、终端设备、供应链及用户信任体系。与此同时,人工智能技术的广泛应用进一步降低了社会工程与自动化攻击门槛,推动攻击活动向专业化、规模化和持续化演进。在监管层面,围绕稳定币、反洗钱(AML)、虚拟资产服务提供商(VASP)等领域的制度建设持续推进,行业正加速迈向安全、合规与治理并重的发展阶段。 当前,区块链安全已不再局限于智能合约或单一协议风险,而是演变为涵盖协议安全、供应链安全、终端安全、身份信任以及资金流转治理的系统性挑战。国家背景黑客组织持续活跃,Drainer黑产服务、供应链投毒、AI驱动诈骗等新型攻击不断涌现,促使安全防护从漏洞修复逐步转向全生命周期风险治理,推动安全能力建设成为行业发展的重要基础。 作为区块链安全领域的先行者,慢雾(SlowMist)始终紧跟技术前沿,在威胁情报、大模型AI安全、追踪溯源和合规反洗钱等基础设施建设上持续深耕。在此背景下,本报告聚焦2026年上半年的重大安全事件、全球监管演进以及链上反洗钱技术趋势。希望通过本报告,为行业从业者、安全研究人员及合规负责人提供及时、系统且具有前瞻性的参考,助力生态在强合规与高对抗的新环境下,全面提升对未知风险的识别、响应与预判能力。 二、区块链安全态势 2026年上半年,区块链行业依旧面临严峻的安全挑战。根据慢雾区块链被黑事件档案库(SlowMist Hacked)不完全统计,上半年共发生安全事件182起,造成损失约9.56亿美元。相比2025上半年(121起,损失约23.73亿美元),事件数量同比增长约50.41%,但整体损失金额同比下降约59.72%。(注:本报告数据基于事件发生时的代币价格,由于币价波动、部分未公开事件以及普通用户的损失未纳入统计等因素,实际损失应高于统计结果) 2.1安全事件概览 (1)按生态分布 ●Ethereum是受攻击最频繁的生态,相关损失约1.34亿美元;●BSC生态紧随其后,损失约3,635万美元;●Arbitrum位列第三,损失约493万美元。 (2)按项目类型 ●DeFi项目仍是最常遭受攻击的领域:2026上半年共发生116起DeFi类型的安全事件,约占上半年事件总数(182起)的63.74 %,损失约4.9亿美元。对比2025上半年(92起,损失4.7亿美元)损失同比约4.26 %。 ●跨链桥事件共发生20起,累计造成约3.46亿美元损失。其中最严重的一起为Kelp DAO事件,该事件因采用LayerZero跨链桥的单一验证节点(1-of-1 DVN)配置,被攻击者通过入侵LayerZero RPC基础设施并实施DDoS攻击,伪造跨链消息,单次损失约2.92亿美元,成为2026年上半年损失最大的安全事件。 (3)按攻击原因 ●从事件数量来看,合约/逻辑漏洞仍是最主要的攻击方式,共发生85起; ●其次是私钥/凭证泄漏,共17起;●供应链攻击位列第三,共12起。 ●从损失金额来看,供应链攻击以约2.98亿美元的总损失位居首位,主要受Kelp DAO单笔约2.92亿美元损失事件影响; ●合约/逻辑漏洞和私钥/凭证泄漏分别造成约1.52亿美元和1.30亿美元损失。 整体来看,2026年上半年区块链安全威胁呈现出“事件分散化、损失集中化”的特点。虽然大多数安全事件仍源于合约/逻辑漏洞等传统攻击方式,但高额损失正越来越集中于基础设施、跨链系统及供应链等关键环节,表明攻击者正持续向更高价值、更高影响的目标转移。 2.2攻击手法 2.2.1钓鱼攻击 在当前Web3安全威胁体系中,钓鱼攻击仍然是最主要且最具现实破坏力的攻击类型之一。与早期依赖静态仿冒页面或简单欺骗手段的模式不同,2026上半年的钓鱼攻击正在显著呈现“平台化伪装+多阶段交互+动态投毒”的演化趋势。攻击者更倾向于利用浏览器扩展、搜索引擎广告、邮件系统以及主流安全验证流程等高可信渠道作为攻击入口,通过借助平台自身的信任体系降低用户警觉性。 同时,攻击链条也从单点信息窃取扩展为更复杂的复合型流程:前端通过社会工程建立信任,中段通过仿真界面或合法工具诱导敏感操作,后端则依赖远程控制与动态载荷持续更新攻击内容。这种“信任借用+行为诱导+动态执行”的组合模式,使得钓鱼攻击的隐蔽性、持续性与对抗检测能力均显著增强,对用户资产安全构成持续威胁。 (1)恶意浏览器拓展钓鱼 恶意浏览器扩展钓鱼是一类典型的“本地持壳+云端投毒”型攻击。攻击者首先通过仿冒合法钱包或常用工具上架浏览器应用商店,诱导用户安装扩展;随后利用远程服务器动态下发钓鱼页面和恶意逻辑,在绕过平台静态审核的同时,窃取用户助记词、私钥等敏感信息。 2026年5月,慢雾安全团队捕获到一起针对TRON生态用户的Chrome扩展钓鱼攻击。攻击者伪装成TronLink相关工具,在Chrome应用商店上架仿冒扩展,通过复制品牌名称、图标、描述文案,并刷取高评分与高下载量,迅速建立可信形象,使用户误以为这是官方或经过验证的插件。 用户安装扩展后,会在特定时机加载由攻击者远程控制的仿冒页面。由于该界面风格与真实TronLink Wallet高度一致,普通用户难以通过视觉辨别真伪。 对样本进一步分析发现,该页面会在钱包导入、账户恢复等环节诱导用户输入助记词、私钥或上传Keystore文件。一旦核心凭据泄露,攻击者即可完成钱包接管,并迅速转移链上资产。 与传统钓鱼网站相比,这类攻击利用浏览器应用商店的信任背书降低用户警惕,同时借助远程配置能力实现攻击内容的持续更新和快速切换。攻击者能够随时调整页面内容和攻击策略,甚至针对不同用户群体定制不同的诱骗场景,使得攻击具备极强的持续性和隐蔽性。 (2)Google搜索广告钓鱼 这是一种利用Google搜索引擎广告投放机制实施的网络欺诈手段。攻击者通过购买热门关键词广告位,将仿冒官方网站、热门软件或知名服务的恶意链接投放至搜索结果顶部。由于广告通常位于自然搜索结果之前,且页面外观与官方链接高度相似,用户容易将其误认为正规入口。当受害者点击后,可能被诱导输入账号密码、签署恶意交易,或执行带有恶意负载的安装命令,最终导致账户、设备或数字资产遭受损失。 6月1日,一名用户在购买新MacBook后,通过Google搜索“codex download”安装开发工具时点击了搜索结果顶部的付费广告。页面引导其在终端执行一段看似正常的安装命令,但该命令实际 会下载并执行恶意脚本,在设备中部署剪贴板劫持木马。随后,当用户转账约2万美元数字资产时,木马自动篡改收款地址,最终导致资金被盗。 此类攻击之所以能够成功绕过平台审核并获取用户信任,一个重要原因在于攻击者会滥用合法平台和可信域名作为钓鱼载体。例如,在部分案例中,钓鱼页面被托管在business.google.com等具有较高信誉度的域名体系下。由于域名本身属于用户熟悉且信任的平台,不仅更容易降低受害者警惕性,也可能增加绕过部分自动化检测和域名匹配审查机制的概率。 需要警惕的是,部分恶意程序在执行后,会弹出与系统原生界面高度相似的密码输入窗口,诱导用户输入系统密码并完成权限提升。攻击者在获取相关权限后,可进一步部署C2控制程序,实现持续通信和远程指令下发。同时,恶意程序还可能长期监控和读写剪贴板内容,对加密货币转账地址进行实时替换,从而在用户毫无察觉的情况下完成资产窃取。 总的来看,这类攻击结合了搜索引擎广告投放、社会工程学诱导、终端权限获取及恶意程序植入等多个环节,具有较强的隐蔽性。慢雾建议用户优先通过官方网站或可信渠道获取软件,避免直接点击搜索广告下载程序;执行终端安装命令前,应确认命令来源及脚本内容,避免运行来源不明的安装脚本;对于安装过程中请求系统密码或高权限授权的程序保持警惕,确认其必要性后再进行授权;涉及数字资产转账时,应养成再次核对收款地址的习惯,必要时先进行小额测试,以降低剪贴板劫持等恶意程序造成的资产损失风险。 (3)鱼叉式网络钓鱼 鱼叉式网络钓鱼是一类面向特定组织或个人实施的定向钓鱼攻击。与传统群发式钓鱼邮件不同,攻击者通常会结合目标所在行业、工作职责及业务流程,精心设计邮件内容和沟通场景,使攻击过程更具真实性和迷惑性。由于邮件内容往往围绕日常工作展开,受害者更容易放松警惕,并主动打开附件或执行攻击者指定的操作。 2026年1月,Chainbase实验室捕获到一起伪装为“审计/合约确认”的钓鱼邮件活动,并将相关恶意样本脱敏后同步给慢雾安全团队,双方联合对此恶意样本展开分析。攻击者首先发送邮件,以"确认公司英文法定名称"等正常业务沟通诱导收件人回复,随后又以"FY2025外部审计""TokenVesting Confirmation截止回传"等理由持续跟进,并发送伪装成Word文档的恶意附件。 初步分析发现,邮件附件名为“Confirmation_Token_Vesting.docx.scpt”,实际为AppleScript脚本(.scpt),通过双扩展名伪装为docx文档。 进一步对样本分析发现,当受害者执行附件后,恶意程序会伪装成系统更新流程,诱导用户输入系统密码,并进一步申请摄像头、屏幕录制、键盘监听等高权限访问能力,最终建立远程控制通道,实现对设备和敏感数据的全面控制。 与传统依赖恶意附件直接释放木马的邮件攻击不同,此类攻击更多采用"社会工程+多阶段载荷"的方式实施入侵。攻击者利用真实业务流程逐步建立信任,再通过合法系统组件(如AppleScript、Node.js、Bash等)完成恶意操作,并将核心攻击逻辑保留在远程服务器动态下发。这种"合法工具被滥用+动态代码执行"的攻击模式,大幅降低了静态特征检测和传统邮件安全产品的发现概率,使攻击具有更强的隐蔽性和持续性。 (4)假“2FA安全验证”助记词钓鱼 2026年1月,一种伪装成MetaMask官方“2FA(双重身份验证)安全验证”的新型钓鱼骗局开始出现。攻击者将整个窃密过程包装成看似正规的安全验证流程,利用用户对安全机制的信任实施诈骗。 攻击通常始于一封伪装成MetaMask官方支持团队发送的电子邮件。邮件以账户安全、身份验证等名义引导用户访问指定网站。为增强可信度,攻击者还注册了与MetaMask官方域名高度相似的钓鱼域名,两者仅存在一个字符的差异。在用户处于紧张或急于处理安全问题的情况下,这种细微差别极易被忽视。 当用户进入网站后,会看到与官方页面高度相似的界面,并被引导完成所谓的安全验证流程。整个过程中还会加入倒计时、安全提醒等元素,营造紧迫感。 页面最终会要求用户输入钱包助记词,以完成所谓的验证流程。一旦用户提交助记词,攻击者即可立即导入钱包并转移其中资产。 这类骗局最大的特点在于其利用“安全验证”作为诱饵,通过多步骤交互不断建立用户信任,从而降低受害者的戒备心理。整个页面设计专业、仿真度高,对于缺乏经验的用户具有较强迷惑性。 慢雾安全团队提醒,任何要求输入助记词进行验证、认证、安全检查或账户恢复的页面均可直接视为诈骗。助记词是钱包资产控制权的唯一凭证,MetaMask等钱包服务商不会以任何理由通过网页