2025年上半年区块链安全与反洗钱报告-慢雾科技SlowMist

目录 一、前言 2 二、区块链安全态势 2 2.1 安全事件回顾 2 2.2 欺诈手法 4 2.2.1 利用 EIP-7702 钓鱼 4 2.2.2 利用深度伪造(Deepfake) 诈骗 6 2.2.3 Telegram 假 Safeguard 骗局 10 2.2.4 恶意浏览器扩展 13 2.2.5 LinkedIn 招聘钓鱼 18 2.2.6 社交工程攻击 21 2.2.7 低价 AI 工具的后门投毒 23 2.2.8 无限制大型语言模型(LLM) 25 三、反洗钱态势 28 3.1 全球监管动态 28 3.1.1 亚洲 28 3.1.2 欧洲 31 3.1.3 北美洲 32 3.1.4 拉丁美洲 33 3.1.5 中东 33 3.2 资金冻结和归还数据 34 3.3 组织动态 36 3.3.1 Lazarus Group 36 3.3.2 Drainers 47 3.3.3 HuionePay 50 3.4 混币工具 57 3.4.1 Tornado Cash 57 3.4.2 eXch 59 四、总结 61 五、免责声明 62 六、关于我们 63 1 一、前言 2025 年上半年，区块链行业在高速发展的同时，也持续承压于日益复杂的安全威胁与合规挑战。一方面，黑客攻击持续活跃，APT 组织攻击手段趋于模块化、系统化，钓鱼与社工攻击泛滥，造成重大资产损失和用户信任危机。另一方面，全球监管加速演进，各国政府和国际组织围绕反洗钱、制裁、投资者保护等方面频繁出台新规。值得关注的是，稳定币正逐步演化为连接传统金融与链上金融的关键基础设施，全球主要金融机构与头部加密平台纷纷加快稳定币战略布局。除此之外，黑产资金流转模式不断演变，链上追踪技术与情报协作机制也持续进化，监管机构与头部平台的合作日益密切，资金冻结与追回案例显著增加，对链上犯罪与非法资金形成更强震慑。 作为区块链安全领域的先行者，慢雾(SlowMist) 持续在威胁情报、攻击监测、追踪溯源和合规支持方面深耕。在此背景下，本报告聚焦 2025 年上半年的重大安全事件、全球监管演进以及链上反洗钱趋势。希望本报告能为行业从业者、安全研究人员与合规负责人提供及时、系统、具有洞察力的安全合规参考，提升对风险的识别、响应与预判能力。 二、区块链安全态势 2.1 安全事件回顾 2025 年上半年，区块链领域依旧面临严峻的安全挑战。根据慢雾区块链被黑事件档案库(SlowMist Hacked) 的不完全统计，上半年共发生 121 起安全事件，造成损失约 23.73 亿美元。 对比 2024 上半年（共 223 件，损失约 14.3 亿美元），虽然事件数量有所下降，但整体损失金额却同比增长了约 65.94%。（注：本报告数据基于事件发生时的代币价格，由于币价波动、部分未公开事件以及普通用户的损失未纳入统计等因素，实际损失应高于统计结果） 2 (https://hacked.slowmist.io/) （1）从生态维度看 Ethereum 依然是攻击重灾区，相关损失约 3,859 万美元。其次是 Solana，损失约 580 万美元，再者为 BSC，损失约 549 万美元。 （2）从项目类型看 DeFi 是最常受到攻击的类型。2025 上半年 DeFi 类型安全事件共 92 件，占事件总数（121 起）的 76.03%，损失高达 4.7 亿美元，对比 2024 上半年（共 158 件，损失约 6.59 亿美元），损失同比下降 28.67%。 其次是交易所平台相关事件共 11 起，但损失金额却高达 18.83 亿美元，其中以 Bybit 被攻击最为严重，单起事件造成约 14.6 亿美元损失。 （3）从损失规模看 上半年有 2 起事件损失超过 1 亿美元，前十大攻击事件共计损失 20.18 亿美元。 （4）从攻击原因看 账号被黑导致的安全事件最多，达 42 件。其次为合约漏洞导致的安全事件，达 35 件。 3 2.2 欺诈手法 除了直接攻击项目或协议，围绕普通用户的“骗术”也在快速进化。以下是 2025 年上半年值得重点关注的几种典型或新型的欺诈手法。 2.2.1 利用 EIP-7702 钓鱼 5 月 24 日，一位用户因 EIP-7702 授权操作遭遇钓鱼攻击，导致损失达 146,551 美元。攻击由知名钓鱼团伙 Inferno Drainer 发起，其手法利用了 EIP-7702 的新特性。具体来说，此次并非通过钓鱼方式把用户的 EOA 地址切换为 7702 合约地址，即 delegated address 并非钓鱼地址，而是几天前就存在的 MetaMask: EIP-7702 Delegator(0x63c0c19a282a1B52b07dD5a65b58948A07DAE32B)： 钓鱼利用了 MetaMask: EIP-7702 Delegator 里的机制来完成受害者地址有关 token 的批量授权钓鱼盗币操作。 4 此类钓鱼攻击之所以高效，根本原因在于 EIP-7702 带来的委托机制变更 —— 用户的 EOA 地址可以被授权给某个合约，使其具备这个合约的特性（如批量转账、批量授权、gas 代付等）。如果用户将地址授权给一个恶意合约，就会存在风险，如果用户将地址授权给一个正规的合约，但被钓鱼网站恶意利用了合约的特性，也会存在风险。此外，一些防钓鱼工具无法准确捕捉批量授权操作的风险，也为钓鱼团伙创造了可乘之机。 除了上述案例，我们也注意到围绕 EIP-7702 委托机制存在的更广泛安全风险： ● 私钥泄露：即便 EOA 在委托后可以借助智能合约内置的社交恢复等手段解决因私钥丢失导致的资金损失问题，但它仍然无法避免 EOA 私钥被泄露的风险。对于用户来说，在使用委托后的账户时，用户仍应该将私钥保护放在首位，时刻注意：Not your keys, not your coins。 ● 多链委托中的合约代码不一致：用户在签署委托授权时，能通过 chainId 选择委托可以生效的链，当然用户也可以选择使用 chainId 为 0 进行委托，这使得委托可以在多链上重放生效，以方便用户一次签名即可在多链上进行委托。但需要注意的是，在多链上委托的同5 一合约地址中，也可能存在不同的实现代码。用户也应该注意，在不同链上的相同合约地址，其合约代码并不总是相同，应先了解清楚委托的目标。 ● 钱包初始化中的权限验证：对于开发者来说，在将 EIP-7702 与现有的 EIP-4337 钱包进行组合适配时，应该注意在钱包的初始化操作中进行权限检查（例如通过 ecrecover 恢复签名地址进行权限检查），以避免钱包初始化操作被抢跑的风险。 ● 重新委托带来的存储结构兼容性问题：用户在使用 EIP-7702 委托功能时，可能会因为功能需求变更、钱包升级等，需要重新委托到不同的合约地址。但不同合约的存储结构可能存在差异（如不同合约的 slot0 插槽可能代表不同类型的数据），在重新委托的情况下，有可能导致新合约意外复用旧合约的数据，进