安全 - 慢雾 - Slowmist

由于篇幅限制，本文仅概述完整分析报告中的主要发现。完整报告可从以下链接下载：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(EN).pdf

I. 介绍

2025年上半年，区块链行业在快速发展的同时，也面临着日益复杂的安全威胁和合规挑战。一方面，黑客攻击仍然频繁，APT 组织采用越来越模块化和系统化的技术，而钓鱼和社会工程诈骗变得猖獗——导致巨大的经济损失和日益增长的用户信任危机。另一方面，全球监管框架继续快速发展。各国政府和国际组织发布了涵盖反洗钱（AML）、制裁执行和投资者保护的新规则。

特别值得注意的是，稳定币正在成为传统金融和链上金融之间的基础桥梁。大型金融机构和领先的加密平台正在加速其稳定币战略。与此同时，地下金融流动正在演变，基于区块链的跟踪技术和情报协作机制也在进步。监管机构和主要平台之间的合作更加紧密，导致资产冻结和追回案件显着增加，对链上犯罪和非法资金产生了更强的震慑作用。

作为区块链安全的先驱，SlowMist 继续专注于威胁情报、攻击监控、链上追踪和合规支持。在此背景下，本报告重点关注 2025 年上半年的重大安全事件、全球监管发展和新兴的 AML 趋势。我们希望本报告为行业专业人士、安全研究人员和合规人员提供及时、系统和深刻的参考——增强他们识别、响应和预测风险的能力。

II. 区块链安全态势

安全事件回顾

2025年上半年，区块链领域仍然面临着严峻的安全压力。根据 SlowMist Hacked 数据库的不完全统计，共报告了 121 起安全事件，估计损失达 23.73 亿美元。与 2024 年上半年（223 起事件，损失约 14.3 亿美元）相比，事件数量有所下降，但总损失增加了约 65.94%。

注意：损失数字基于事件发生时的代币价格。由于市场波动、未公开的事件以及不包括普通用户的损失，实际总额可能更高。

(https://hacked.slowmist.io/)

1. 按生态系统

   • Ethereum 仍然是受打击最严重的生态系统，损失约 3859 万美元。
   • 其次是 Solana，损失约 580 万美元，然后是 BSC，损失约 549 万美元。

2. 按项目类型

• DeFi 是最常被攻击的类别，发生了 92 起事件（占总数的 76.03%），损失约 4.7 亿美元。与 2024 年上半年（158 起事件，损失约 6.59 亿美元）相比，损失下降了 28.67%。
• 交易所发生了 11 起事件，损失约 18.83 亿美元。仅 Bybit 黑客事件就占了约 14.6 亿美元。

3. 按损失规模

• 两起事件的损失超过 1 亿美元。前 10 大黑客事件共造成约 20.18 亿美元的损失。

4. 按攻击向量

• 账户泄露是最常见的原因（42 起），其次是智能合约漏洞（35 起）。

欺诈策略

除了直接的协议攻击外，针对个人用户的诈骗也在迅速演变。2025 年上半年出现的主要欺诈策略包括：

除了直接攻击项目或协议外，针对普通用户的诈骗也迅速发展。本节重点介绍 2025 年上半年出现的几种典型或新兴的欺诈策略。

1. EIP-7702 钓鱼攻击

这些攻击利用了 EIP-7702 引入的变更——特别是委派机制，该机制允许用户的 EOA 地址由合约授权，并继承合约功能，如批量转账、批量批准和 Gasless 交易。当用户授权恶意合约或合法合约通过钓鱼网站被利用时，就会出现风险。许多反钓鱼工具目前无法识别与批量授权相关的风险，从而为钓鱼团伙创造了更多机会。

2. Deepfake 诈骗

随着生成式人工智能技术的快速发展，利用 deepfake 技术进行“基于信任的欺诈”的诈骗正在激增。攻击者使用人工智能生成的视频和音频来冒充知名的项目创始人、交易所高管或影响者（KOL），诱骗受害者进行投资或转账。一些攻击者甚至使用从受害者照片生成的 deepfake 动画来绕过交易所和钱包平台上的 KYC 系统——从而获得账户控制权并窃取资金。这些 deepfake 通常非常逼真，以至于大多数用户无法将它们与真实内容区分开来。

3. Telegram 上的虚假安全工具诈骗

2025 年初，Telegram 上的许多用户成为冒充安全工具的诈骗的受害者，导致资产被盗或设备感染。这些诈骗通常涉及剪贴板恶意软件，以代币空投或虚假影响者帖子为幌子分发。即使是经验丰富的用户也会因 FOMO 或“官方验证”的外观而措手不及。

4. 恶意浏览器扩展

恶意浏览器扩展是加密货币领域一种由来已久的诈骗方法，通常伪装成“Web3 安全工具”或滥用插件自动更新机制来窃取数据和劫持权限——有时甚至诱骗用户执行敏感操作。它们的隐蔽性和欺骗性外观使其非常危险。

5. LinkedIn 招聘钓鱼

自 2025 年以来，伪装成包含恶意代码的招聘信息的诈骗有所增加，尤其是在 LinkedIn 等专业社交网站上。这些攻击结合了精心设计的外观和精确的定位，对开发者社区构成了新的威胁。

6. 社会工程攻击

社会工程攻击在 2025 年上半年仍然在加密货币领域普遍存在，并且变得更加微妙和精致。一个突出的案例涉及 Coinbase 用户：自 2025 年初以来，许多人报告收到来自虚假“官方支持”代理的电话，他们诱骗他们将资产转移到所谓的“安全钱包”。5 月 15 日，Coinbase 证实可能存在内部数据泄露，并表示正在与美国司法部 (DOJ) 合作。调查显示，黑客贿赂了海外客户支持人员，以获取系统访问权限并窃取 KYC 数据——包括姓名、地址和电子邮件。尽管没有密码、私钥或余额泄露，但攻击者能够精心策划高度逼真的诈骗，甚至向 Coinbase 勒索 2000 万美元。

7. 通过廉价 API 后门化的人工智能工具

在你的收件箱中获取 SlowMist 的故事

免费加入 Medium 以获取此作者的更新。

诈骗者通过短视频平台宣传“最便宜的人工智能工具 API”来引诱开发者——导致他们安装恶意 npm 包，例如 sw-cur、aiide-cur 和 sw-cur1。一旦执行，这些软件包会篡改本地 Cursor 应用程序，植入后门，并远程劫持代码环境——窃取凭据并将受感染的设备变成僵尸网络。超过 4,200 名开发者受到影响，其中大多数是 macOS 用户。

8. 不受限制的大型语言模型 (LLM)

“不受限制的 LLM”是指经过故意修改或越狱以绕过标准安全和道德控制的模型。虽然主流提供商在防止滥用（如生成仇恨言论、恶意软件或非法内容）方面投入了大量资金，但恶意行为者会创建或滥用这些限制较少的模型进行网络犯罪。在加密货币领域，它们显着降低了欺诈的技术门槛。攻击者可以使用恶意数据集微调开源模型，以构建自定义欺诈工具，从而生成钓鱼邮件、恶意代码和诈骗脚本——即使非编码人员也可以使用。

III. 反洗钱态势

本节包括全球监管趋势、资产冻结和追回数据、组织活动以及混合器使用情况。

AML 和监管发展

2025 年上半年，全球数字资产监管显示出明显的成熟和制度化迹象。从加密货币许可制度和稳定币监管框架到 AML 执法和隐私币/P2P 限制，一个更复杂的加密货币金融治理体系正在形成。

冻结和追回的资金

• 2025 年上半年，Tether 冻结了 209 个 ETH 地址上的 USDT-ERC20 资产。(https://dune.com/phabc/usdt---banned-addresses)
• Circle 冻结了 44 个 ETH 地址上的 USDC-ERC20 资产。(https://dune.com/phabc/usdc-banned-addresses)
• 2025 年上半年发生的 9 起事件成功冻结或追回了资产。总共被盗约 17.3 亿美元，其中约 2.7 亿美元（约 11.38%）被冻结或追回。这些结果反映了改进的协作和链上追踪能力。
• 在 InMist Lab 威胁情报网络的支持下，SlowMist 帮助客户和合作伙伴追回/冻结了约 1456 万美元。

一个值得注意的案例：

4 月 15 日，去中心化永续合约交易所 KiloEx 遭到黑客攻击，损失约 844 万美元。SlowMist 立即组织了一个安全工作组来追踪攻击路径和资金流动。利用其 MistTrack AML 分析平台 (https://misttrack.io/) 和 InMist 情报网络，SlowMist 分析了攻击者，并促成了多轮谈判。在短短 3.5 天内，所有被盗资产都已追回，并与攻击者达成了 10% 的白帽赏金协议。

(https://etherscan.io/idm?addresses=0x00fac92881556a90fdb19eae9f23640b95b4bcbd%2C0x1D568fc08a1d3978985bc3e896A22abD1222ABcF%2C&type=1)

组织活动

1. Lazarus Group

本小节涵盖了朝鲜 APT 组织 Lazarus 的策略，重点介绍了 2025 年上半年的几起重大事件，并以 Bybit 黑客事件为例分析了其洗钱技术。

2. Drainers

本小节由我们的合作伙伴 Scam Sniffer (https://www.scamsniffer.io/) 撰写。我们对此表示感谢。

2025 年上半年，Web3 生态系统面临着严重的钓鱼威胁，导致 43,628 个受害者地址损失约 3973 万美元。本节概述了主要趋势和高价值案例，为用户和行业专业人士提供了安全见解。

3. HuionePay

随着全球对网络诈骗、地下支付网络和跨境洗钱的打击力度加大，HuionePay 平台受到了越来越多的审查。据称 HuionePay 用于接收、转移和转移非法资金——尤其是通过基于 TRON 的 USDT 交易——SlowMist 一直在积极分析 HuionePay。利用 MistTrack 和链上公共数据，SlowMist 构建了一个 Dune 分析仪表板，并对该平台的链上活动进行了深入调查。该数据涵盖 2024 年 1 月 1 日至 2025 年 6 月 23 日。

(https://dune.com/misttrack/huionepay-data)

混币器

1. Tornado Cash

2025 年上半年，用户总共从 Tornado Cash 存入了 254,094 ETH（6.0527 亿美元）并提取了 248,922 ETH（5.85 亿美元）。5 月和 6 月的存款/取款活动激增。

(https://dune.com/misttrack/first-half-of-2025-stats)

2. eXch

用户在 2025 年上半年向 eXch 存入了 28,756 ETH（8219 万美元）和 73,482,393 个 ERC20 代币（7348 万美元）。活动在 3 月初达到顶峰，并于 4 月 30 日因执法行动而停止。

(https://dune.com/misttrack/first-half-of-2025-stats)

IV. 结论

2025 年上半年，区块链行业继续以合规性、稳定性和安全性为中心。虽然热钱包泄露和钓鱼攻击仍然盛行，但区块链追踪和资金冻结能力也得到了提升。在全球范围内，监管工作加快，香港、美国和欧盟等司法管辖区推出了详细的规则。“合规性作为先决条件”正在成为常态。总的来说，该行业正在从早期、混乱的增长阶段过渡到一个更加规范、安全和有弹性的生态系统——长期成功取决于在监管框架内生存。

V. 免责声明

本报告基于 SlowMist 对区块链生态系统的理解，以及来自 SlowMist Hacked 和 MistTrack 的数据。由于区块链的匿名性，我们无法保证数据的绝对准确性。SlowMist 不对因使用本报告而产生的任何遗漏、错误或后果负责。本报告不构成投资建议。欢迎提供反馈和更正。

关于 SlowMist

SlowMist 是一家成立于 2018 年 1 月的区块链安全公司。该公司由一个拥有超过十年网络安全经验的团队创立，旨在成为全球力量。我们的目标是使区块链生态系统对每个人都尽可能安全。我们现在是一家著名的国际区块链安全公司，曾与 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等众多知名项目合作。

SlowMist 提供各种服务，包括但不限于安全审计、威胁信息、防御部署、安全顾问和其他安全相关服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密货币黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，如 Akamai、BitDefender、RC²、天际伙伴、IPIP 等。我们在加密货币犯罪调查方面的大量工作已被联合国安全理事会和联合国毒品和犯罪问题办公室等国际组织和政府机构引用。

通过提供针对单个项目定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布几个高风险的区块链安全漏洞。通过这样做，我们可以传播意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/slow...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～