区块链行业：2025年区块链安全与反洗钱年度报告

目录一、前言33二、区块链安全态势2.1 安全事件概览2.2 年度损失 Top 10 攻击事件2.2.1 Bybit4672.2.2 Cetus Protocol2.2.3 Balancer V22.2.4 Nobitex7772.2.5 Phemex82.2.6 UPCX82.2.7 BtcTurk82.2.8 Infini82.2.9 CoinDCX92.2.10 GMX92.3 欺诈手法92.3.1 钓鱼攻击92.3.2 社会工程攻击2.3.3 供应链与开源生态投毒2.3.4 恶意浏览器扩展与扩展生态风险2.3.5 利用 AI 技术的攻击2.3.6 资金盘诈骗三、反洗钱态势182733384551515154543.1 反洗钱及监管动态3.1.1 执法与制裁行动3.1.2 监管政策3.1.2.1 亚洲13.1.2.2 欧洲3.1.2.3 北美洲58603.1.2.4 拉丁美洲613.1.2.5 中东623.1.2.6 非洲623.1.2.7 大洋洲623.2 资金冻结 / 归还数据3.3 网络犯罪组织与地下网络生态3.3.1 朝鲜黑客6366663.3.2 钓鱼 Drainer3.3.3 Huione Group3.3.4 勒索 / 恶意软件3.3.5 隐私 / 混币工具82909499四、总结103104105五、免责声明六、关于我们2一、前言2025 年，区块链行业继续高速演化，宏观金融环境、监管不确定性与攻击强度叠加，使全年安全态势显著复杂。一方面，黑客组织与地下网络犯罪呈现更强的组织化与专业化特征，朝鲜相关黑客仍高频活跃，信息窃取木马、私钥劫持与社工钓鱼成为全年主攻方向；DeFi 生态风险持续暴露，Meme 发行、权限管理等均多次引发大额损失，RaaS/MaaS 服务化降低了犯罪门槛，让无技术背景的攻击者也能快速发动攻击。与此同时，地下洗钱体系不断成熟，东南亚地区诈骗集群、隐私工具与混币设施构成多层级资金通道。在监管端，各国加速推进加密资产 AML/CFT 框架落地，美国、英国、欧盟及亚洲地区开展多起跨境执法行动，链上追踪、情报协作与资产冻结效率显著提高，跨国执法从以往的单点打击迈向系统化围堵。值得关注的是，不同类型隐私协议的法律边界正在被重新定义，监管逐步从“一刀切制裁”转向区分技术属性与犯罪用途的更精细路径，技术自由与法律责任之间的界线比以往更清晰。作为区块链安全领域的先行者，慢雾(SlowMist) 持续在威胁情报、攻击监测、追踪溯源和合规支持方面深耕，协助多起黑客资金溯源与冻结。本报告聚焦 2025 年关键安全事件、APT 组织活动趋势、资金洗钱模型演变及监管执法进展，希望能为行业从业者、安全研究人员与合规负责人提供及时、系统、具有洞察力的安全合规参考，提升对风险的识别、响应与预判能力。二、区块链安全态势2025 年，区块链行业仍面临着严峻的安全挑战。根据慢雾区块链被黑事件档案库（SlowMistHacked）不完全统计，全年共发生安全事件 200 起，造成损失约 29.35 亿美元。相比 2024 年（410起，损失约 20.13 亿美元），尽管事件数量明显下降，但损失金额却同比上升约 46%。（注：本报告数据基于事件发生时的代币价格，由于币价波动、部分未公开事件以及普通用户的损失未纳入统计等因素，实际损失应高于统计结果）3（https://hacked.slowmist.io/）2.1 安全事件概览（1）按生态分布●●●Ethereum 仍是最主要的受攻击生态，相关损失约 2.54 亿美元；BSC 其次，损失约 2193 万美元；Solana 位列第三，损失约 1745 万美元。（2025 各生态安全事件分布及损失）4（2）按项目类型●●DeFi 项目是最常遭攻击的领域：2025 年共发生 126 起安全事件，约占全年总数的 63%，损失约 6.49 亿美元。相较 2024 年（339 起，损失 10.29 亿美元）损失下降约 37%。交易平台事件仅 12 起，却造成高达 18.09 亿美元损失，其中 Bybit 单次即损失约 14.6 亿美元，是全年最严重事件。（2025 各赛道安全事件分布及损失）（3）按攻击原因●●合约漏洞是主要诱因，共 61 起；X 账号被黑紧随其后，共 48 起。5（2025 安全事件手法图）2.2 年度损失 Top 10 攻击事件（2025 损失 Top10 的安全攻击事件）62.2.1 Bybit2 月 21 日，链上侦探 ZachXBT 披露 Bybit 平台出现异常大额资金转出，最终确认本次事件造成超过 14.6 亿美元的加密资产被盗，成为近年来损失金额最大的加密货币安全事件之一。事件发生后，慢雾(SlowMist) 第一时间结合攻击者获取 Safe 多签权限的方式及后续洗币行为进行研判，判断攻击者可能来自朝鲜黑客组织。进一步分析显示，攻击者先获取了 app.safe.global 前端代码的控制权，并以此为入口，对 Bybit 使用的 Safe{Wallet} 多签钱包实施了精准攻击。事后，Safe 与Bybit 联合发布安全调查公告，确认攻击源自 Safe{Wallet} 的 AWS 基础设施（可能涉及 S3 /CloudFront 账户或 API Key 泄露或被入侵），Bybit 自身基础设施并未遭到攻击。2.2.2 Cetus Protocol5 月 22 日，Sui 生态流动性提供商 Cetus Protocol 遭受攻击，多个流动性池深度大幅下降，平台内多条代币交易对价格出现明显下跌，初步估算损失金额超过 2.3 亿美元。随后，项目方宣布已通过验证者冻结机制追回约 1.62 亿美元资产。慢雾(SlowMist) 分析确认本次攻击的根本原因主要来自两方面：其一，Cork 机制允许用户通过 CorkConfig 合约创建以任意资产作为赎回资产（RA）的市场，使攻击者得以将 DS 设定为 RA；其二，任意用户均可在无需授权的情况下调用 CorkHook合约的 beforeSwap 函数，并传入自定义 hook 数据执行 CorkCall 操作，从而使攻击者能够操纵流程，将合法市场中的 DS 转移至另一市场并作为 RA 使用，进而获取对应的 DS 与 CT 代币。2.2.3 Balancer V211 月 3 日，DeFi 协议 Balancer V2 遭遇漏洞攻击，受影响对象为可组合稳定池（ComposableStable Pools）。此次攻击在以太坊、Arbitrum、Base、Optimism 和 Polygon 上共造成 1.211 亿美元的资产损失。慢雾(SlowMist) 分析确认攻击的根本原因在于 Stable Pool “exact-out” 交换路径中存在四舍五入方向错误，该缺陷在汇率提供者引入的精度误差以及极低流动性环境下被进一步放大，导致攻击者得以操控池内不变式并扭曲 BPT 的价格计算，从而以显著低于真实成本的方式大规模提取池内资产。11 月 19 日，Balancer 发布事后分析报告称，在问题被发现后，各方迅速协调并部署了多项安全措施，最终约 4,570 万美元的用户资金得以保护或追回。2.2.4