由于篇幅限制，本文仅罗列分析报告中的关键内容，完整内容可通过以下链接下载。

中文：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(CN).pdf

英文：https://www.slowmist.com/report/SlowMist-first-half-of-the-2025-report(EN).pdf

一、前言

2025 年上半年，区块链行业在高速发展的同时，也持续承压于日益复杂的安全威胁与合规挑战。一方面，黑客攻击持续活跃，APT 组织攻击手段趋于模块化、系统化，钓鱼与社工攻击泛滥，造成重大资产损失和用户信任危机。另一方面，全球监管加速演进，各国政府和国际组织围绕反洗钱、制裁、投资者保护等方面频繁出台新规。值得关注的是，稳定币正逐步演化为连接传统金融与链上金融的关键基础设施，全球主要金融机构与头部加密平台纷纷加快稳定币战略布局。除此之外，黑产资金流转模式不断演变，链上追踪技术与情报协作机制也持续进化，监管机构与头部平台的合作日益密切，资金冻结与追回案例显著增加，对链上犯罪与非法资金形成更强震慑。

作为区块链安全领域的先行者，慢雾(SlowMist) 持续在威胁情报、攻击监测、追踪溯源和合规支持方面深耕。在此背景下，本报告聚焦 2025 年上半年的重大安全事件、全球监管演进以及链上反洗钱趋势。希望本报告能为行业从业者、安全研究人员与合规负责人提供及时、系统、具有洞察力的安全合规参考，提升对风险的识别、响应与预判能力。

二、区块链安全态势

安全事件回顾

2025 年上半年，区块链领域依旧面临严峻的安全挑战。根据慢雾(SlowMist) 区块链被黑事件档案库(SlowMist Hacked) 的不完全统计，上半年共发生 121 起安全事件，造成损失约 23.73 亿美元。 对比 2024 年上半年（共 223 件，损失约 14.3 亿美元），虽然事件数量有所下降，但整体损失金额却同比增长了约 65.94%。

注：本报告数据基于事件发生时的代币价格，由于币价波动、部分未公开事件以及普通用户的损失未纳入统计等因素，实际损失应高于统计结果。

(https://hacked.slowmist.io/)

1. 从生态维度看

Ethereum 依然是攻击重灾区，相关损失约 3,859 万美元。其次是 Solana，损失约 580 万美元，再者为 BSC，损失约 549 万美元。

2. 从项目类型看

DeFi 是最常受到攻击的类型。2025 年上半年 DeFi 类型安全事件共 92 件，占事件总数（121 起）的 76.03%，损失高达 4.7 亿美元，对比 2024 年上半年（共 158 件，损失约 6.59 亿美元），损失同比下降 28.67%。其次是交易所平台相关事件共 11 起，但损失金额却高达 18.83 亿美元，其中以 Bybit 被攻击最为严重，单起事件造成约 14.6 亿美元损失。

3. 从损失规模看

上半年有 2 起事件损失超过 1 亿美元，前十大攻击事件共计损失 20.18 亿美元。

4. 从攻击原因看

账号被黑导致的安全事件最多，达 42 件。其次为合约漏洞导致的安全事件，达 35 件。

欺诈手法

除了直接攻击项目或协议，围绕普通用户的“骗术”也在快速进化。此节选取 2025 年上半年值得重点关注的几种典型或新型的欺诈手法。

1. 利用 EIP-7702 钓鱼

此类钓鱼攻击利用了 EIP-7702 带来的委托机制变更 —— 用户的 EOA 地址可以被授权给某个合约，使其具备这个合约的特性（如批量转账、批量授权、gas 代付等）。如果用户将地址授权给一个恶意合约，就会存在风险，如果用户将地址授权给一个正规的合约，但被钓鱼网站恶意利用了合约的特性，也会存在风险。此外，一些防钓鱼工具无法准确捕捉批量授权操作的风险，也为钓鱼团伙创造了可乘之机。

2. 利用深度伪造(Deepfake) 诈骗

随着生成式人工智能技术的飞速发展，利用深度伪造(Deepfake) 技术进行的“信任型诈骗”迅速兴起。这类诈骗的本质为，攻击者利用 AI 合成工具伪造知名项目方创始人、交易所高管或社群 KOL 的音视频形象，引导公众对项目进行投资；或者通过虚假安全专家的指示，诱导受害者进行进一步授权和转账；更有甚者，攻击者通过 Deepfake 技术结合受害者照片制作动态画面，尝试绕过交易所或钱包平台的 KYC 系统，进而控制账户、盗取资产。这些伪造内容往往具备极高的逼真度，使得普通用户难以辨别真伪。

3. Telegram 假 Safeguard 骗局

2025 年初，大量用户在 Telegram 平台遭遇假 Safeguard 骗局，最终导致资产被盗或设备中毒。该类骗局以诱导用户执行剪贴板中的恶意代码为核心，借助代币空投、仿冒 KOL 帖子等高频场景广泛撒网，引发严重安全后果。即便是经验丰富的玩家，也可能在 FOMO 情绪和“官方验证”的假象下中招。

4. 恶意浏览器扩展

恶意浏览器扩展程序一直是加密领域中常见的欺诈手法之一。攻击者通过伪装成 “Web3 安全工具” 或利用插件自动更新机制，对用户设备进行数据窃取和权限操控，甚至诱导用户执行敏感操作，具有更强的隐蔽性和迷惑性。

5. LinkedIn 招聘钓鱼

2025 年以来，以招聘为名、注入恶意代码的诈骗案例呈上升趋势，尤其在 LinkedIn 等职业社交平台上频发，成为工程师群体的新型威胁。该类攻击多采用“专业包装 + 精准下手”的组合策略，伪装程度极高。

6. 社交工程攻击

2025 年上半年，社交工程攻击在加密行业持续高发，攻击手法愈发精细、隐蔽，尤其是结合平台内部权限滥用与外部精准诈骗的案例，引发广泛关注。其中，Coinbase 用户遭遇的社工攻击尤为典型。自年初以来，大量 Coinbase 用户反映接到“官方客服”来电，并被诱导将资金转入所谓“安全钱包”。5 月 15 日，Coinbase 官方发布公告，证实“内部人员疑似泄露客户信息”，并表示正配合美国司法部(DOJ) 进行调查。调查结果显示，黑客通过贿赂海外客服人员获取系统权限，窃取了包括姓名、地址、邮箱在内的 KYC 信息，虽未涉及用户密码、私钥与账户余额，但足以实施一套高度拟真的诈骗流程。诈骗者甚至向 Coinbase 索要 2,000 万美元赎金。

7. 低价 AI 工具的后门投毒

攻击者以“全网最低价调用 AI 工具 API”为诱饵，在短视频平台引流，诱导开发者安装名为 sw-cur、aiide-cur、sw-cur1 等恶意 npm 包。这些依赖包一旦执行，便会对本地 Cursor 应用进行深度篡改，植入后门并远程接管代码环境，不仅窃取凭证，还可能将设备变为“肉鸡”，长期处于攻击者控制之下。据统计，已知受影响开发者超过 4,200 人，主要集中在使用 MacOS 的群体中。

8. 无限制大型语言模型(LLM)

所谓“无限制 LLM”，是指那些被特意修改或“越狱”，绕过主流模型的安全机制与伦理限制的模型。主流厂商投入大量资源，防止模型被用于生成仇恨言论、虚假信息、恶意代码或违法指令，而一些不法分子则有意开发或滥用这些限制较少的模型，用于网络犯罪。在加密领域，这种模型的滥用正在降低攻击门槛。攻击者可以获取开源模型权重和源码，再通过包含恶意内容的数据集进行微调(fine-tuning)，打造出定制化的欺诈工具。这类模型可用于生成钓鱼邮件、恶意代码、诈骗话术等，哪怕没有编程经验的人也能轻松上手。

三、反洗钱态势

本节分为全球监管动态、资金冻结和归还数据、组织动态、混币工具四部分。

反洗钱及监管动态

2025 年上半年，各国在数字资产监管上明显趋于成熟与制度化。从加密平台牌照管理、稳定币监管框架，到反洗钱制度强化，再到对隐私币、P2P 交易的限制措施，全球正在形成一张愈发精密的加密金融治理网络。

资金冻结/归还数据

2025 年上半年，Tether 共冻结 209 个 ETH 地址上的 USDT-ERC20 资产。（数据源：https://dune.com/phabc/usdt—banned-addresses）

2025 年上半年，Circle 共冻结 44 个 ETH 地址上的 USDC-ERC20 资产。（数据源：https://dune.com/phabc/usdc-banned-addresses）

2025 年上半年，遭受攻击后仍能收回或冻结损失资金的事件共有 9 起。在这 9 起事件中，被盗资金总计约 17.3 亿美元，其中将近 2.7 亿美元被返还/冻结，占上半年总损失的 11.38%。这一比例背后离不开多方协作应对和链上追踪能力的不断进步。

此外，在慢雾 InMist Lab 威胁情报合作网络的大力支持下，2025 年上半年慢雾(SlowMist) 协助客户、合作伙伴及公开被黑事件冻结&追回资金约 1,456 万美元。

值得一提的是，4 月 15 日，去中心化永续合约交易平台 KiloEX 遭遇黑客攻击，损失约 844 万美元。事件发生后，慢雾(SlowMist) 立即组织安全小组响应，联合 KiloEx 梳理攻击路径和资金流向，同时，依托自研的链上反洗钱追踪分析平台 MistTrack(https://misttrack.io/) 与 InMist 威胁情报网络，完成对攻击者信息和特征的画像提取，并协助项目方与攻击者展开多轮谈判。最终，在慢雾(SlowMist) 及多方协作下，事件发生仅 3.5 天后，全部被盗资产 844 万美元被成功追回，KiloEx 与攻击者达成 10% 白帽赏金协议。

(https://etherscan.io/idm?addresses=0x00fac92881556a90fdb19eae9f23640b95b4bcbd%2C0x1D568fc08a1d3978985bc3e896A22abD1222ABcF%2C&type=1)

组织动态

1. Lazarus Group

本小节主要介绍朝鲜黑客组织 Lazarus Group 的作案手法、在 2025 年上半年制造的多起相关事件以及以 Bybit 被盗事件为例，对 Lazarus Group 的洗币手法进行剖析。

2. Drainers

本小节由我们的合作伙伴 —— Web3 反诈平台 Scam Sniffer (https://www.scamsniffer.io/) 撰写，在此表示感谢。

2025 年上半年，Web3 生态系统面临钓鱼攻击威胁，总计造成约 3,973 万美元的损失，受害地址达 43,628 个。此小节分析了 2025 年上半年 Wallet Drainer 攻击的主要趋势和大额案例，为行业从业者和用户提供安全参考。

3. HuionePay

随着全球打击网络诈骗、地下支付网络和非法跨境洗钱活动的力度持续加大，名为汇旺支付(HuionePay) 的平台引起了监管的高度关注。该平台涉嫌被用于诈骗资金的接收、转移及出金，尤其是在 TRON 链上通过 USDT 频繁进行链上操作。慢雾(SlowMist) 基于链上反洗钱与追踪工具 MistTrack 与链上公开数据构建了 Dune 数据统计面板，并在此基础上开展了对汇旺支付(HuionePay) 在 TRON 链上 USDT 存取行为的深入分析。数据时间范围为 2024 年 1 月 1 日至 2025 年 6 月 23 日，数据源：https://dune.com/misttrack/huionepay-data。

混币工具

1. Tornado Cash

2025 年上半年用户共计存入 254,094 ETH（约 605,272,821 美元）到 Tornado Cash，共计从 Tornado Cash 提款 248,922 ETH（约 584,998,160 美元）；在 5、6 月存提行为较为活跃。

(https://dune.com/misttrack/first-half-of-2025-stats)

2. eXch

2025 年上半年用户共计存入 28,756 ETH（约 82,193,535 美元）到 eXch，共计存入 73,482,393 ERC20（约 73,482,393 美元）到 eXch；存入价值在 3 月初达到 194 万美元的峰值，后因查封，于 4 月 30 日停止。

(https://dune.com/misttrack/first-half-of-2025-stats)

四、总结

2025 上半年，区块链行业整体延续了合规、稳定、安全三大关键词。黑客攻击仍频繁出现，尤其是项目方热钱包以及社工钓鱼仍是重灾区；但相应地，链上追踪、资金冻结等安全能力在不断进化。另一方面，全球合规监管正在加速落地，中国香港、美国、欧盟等地密集出台细化规则，行业“合规即准入”的趋势越来越明显。整体来看，行业正在逐步走出早期粗放阶段，朝着“合规为本、安全为要、稳定为基”的方向发展，竞争也越来越聚焦于谁能在合规监管体系下活得更久、更稳。

五、免责声明

本报告内容基于我们对区块链行业的理解、慢雾区块链被黑档案库 SlowMist Hacked 以及反洗钱追踪系统 MistTrack 的数据支持。但由于区块链的“匿名”特性，我们在此并不能保证所有数据的绝对准确性，也不能对其中的错误、疏漏或使用本报告引起的损失承担责任。 同时，本报告不构成任何投资建议或其他分析的根据。本报告中若有疏漏和不足之处，欢迎大家批评指正。