2025年加密货币犯罪年中报告:朝鲜黑客刷新盗币记录 失窃资金激增
本文信息来源:chainalysis
核心发现
被盗资金
- 2025 年至今,加密货币服务已遭受超过 21.7 亿美元的黑客攻击,这一数字远超 2024 年全年的损失规模。其中朝鲜对 ByBit 实施的 15 亿美元攻击(加密货币史上最大单次黑客事件)占据了服务类损失的主要部分。
- 截至2025年6月底,本年累计被盗金额较此前最严重的2022年同期高出17%。若当前趋势持续,到年底服务类被盗资金可能突破40亿美元大关。
- 个人钱包入侵事件在生态系统总盗窃量中的占比持续攀升,攻击者日益瞄准个人用户——2025年迄今,这类事件占所有资金盗窃活动的23.35%。
- "扳手攻击"(针对加密货币持有者的肢体暴力或胁迫行为)与比特币价格波动呈现相关性,表明攻击者倾向于在高价值时期伺机作案。
地域趋势
- 截至2025年,美国、德国、俄罗斯、加拿大、日本、印尼和韩国出现了大量加密资产被盗案件受害者。
- 从地区来看,东欧、中东与北非(MENA)以及中亚南亚(CSAO)在 2024 上半年至 2025 上半年期间受害者总数增长最为迅速。
- 不同地区被盗资产类型也存在显著差异,这可能反映了各地区加密资产采用的基础模式。
洗钱行为
- 对比分析从服务机构与个人处窃取资金的洗钱模式时,可发现若干差异。总体而言,入侵服务机构的威胁行为体通常比针对个人钱包的攻击者展现出更高水平的作案手段。
- 洗钱者为转移赃款持续支付超额费用,平均溢价从2021年的2.58倍波动上升至2025年迄今的14.5倍。
- 值得注意的是,尽管转移赃款的平均美元成本随时间推移有所下降,但其相对于链上常规资金转移成本的倍数却呈现上升趋势。
- 入侵个人钱包的威胁行为体越来越倾向于将更大比例的窃取资金保留在链上,而非立即清洗赃款。
- 目前针对个人钱包的盗窃案中,仍有85亿美元加密货币滞留在链上,而从服务机构窃取的资金规模为12.8亿美元。
不断演变的非法活动格局
尽管非法行为主体格局发生重大变化,2025 年迄今的非法资金流动规模仍有望达到甚至超过去年 510 亿美元的预估总量 。受制裁的俄罗斯交易所 Garantex 的关闭,以及柬埔寨中文服务平台 Huione Guarantee(该平台处理了超 700 亿美元资金流入)可能被美国金融犯罪执法网络列为特别关注对象,这些事件正在重塑犯罪分子的资金转移路径。
在这风云变幻的背景下,资金盗窃活动成为2025年最突出的问题。尽管其他形式的非法活动同比呈现复杂变化趋势,但加密货币盗窃案的激增不仅对生态参与者构成直接威胁,更为行业安全基础设施带来了长期挑战。
从服务中窃取的资金:创纪录的增长轨迹
从各类服务中窃取资金的累计趋势描绘出2025年威胁环境急剧恶化的严峻图景。代表2025年迄今活动的橙色曲线显示,截至六月的增长轨迹比我们数据集中任何往年都更为陡峭,上半年累计金额已突破20亿美元大关。
这一趋势之所以格外令人担忧,在于其发展速度和持续性。根据我们的数据,此前创下最糟糕记录的2022年需要214天才能突破20亿美元的服务被盗金额,而2025年仅用142天就达到了相近的盗窃规模。2023年和2024年的趋势线则呈现出更为温和、稳定的累积模式。
截至6月底,2025年的加密货币犯罪金额较2022年同期高出17.27%。若该趋势持续,仅从服务商窃取的资金规模在2025年全年或将突破43亿美元。
ByBit 安全漏洞:网络犯罪的新标杆
朝鲜对 ByBit 的黑客攻击从根本上改变了 2025 年的威胁格局。这起事件涉案金额高达 15 亿美元,不仅创下加密货币盗窃案的历史之最,更占据了今年从各类服务中被盗资金总额的约 69%。此次攻击的复杂程度与规模,凸显出国家资助的黑客组织在加密领域不断升级的技术能力,而这一切都发生在 2024 年下半年攻击活动显著放缓之后。
这起重大盗窃案符合朝鲜加密货币活动的整体模式,此类活动已成为该政权规避制裁策略的核心部分。去年已知与朝鲜相关的损失总额达13亿美元(创下有记录以来最严重年份),使得2025年成为迄今为止他们最成功的一年。
此次攻击手法似乎采用了与朝鲜以往行动中记录相似的先进社会工程学策略,包括通过被渗透的 IT 人员入侵加密货币相关服务。根据联合国最新报告,这种方法已被证明具有毁灭性效果,西方科技公司在不知情的情况下雇佣了数千名朝鲜籍员工 。
个人钱包:加密货币犯罪中未被充分记录的前沿地带
Chainalysis 开发了新的方法来识别和追踪源自个人钱包的盗窃活动,这类非法活动本质上存在低报案率,但其重要性正日益凸显。这种增强的可视化能力揭示了攻击者如何随时间推移不断多样化其目标和策略的令人不安趋势。
个人钱包被盗案件在加密货币生态失窃总值中的占比持续攀升,下图数据直观呈现了这一趋势。该现象的形成可能源于多重因素:
- 主流交易平台安全防护升级,迫使攻击者转向被视为更易得手的个人用户
- 加密货币个人持有者数量不断增长
- 随着主流加密资产价格持续上涨,个人钱包内存储的加密货币价值水涨船高
- 更复杂的个体定向技术的发展,可能得益于易于部署的 LLM 人工智能工具的增长
按资产类别细分个人钱包被盗金额同样发人深省,如下图所示。这一扩展视角揭示了三大关键趋势:首先,比特币盗窃案占被盗总价值的绝大部分;其次,比特币个人钱包遭入侵导致的平均损失金额随时间推移持续上升,表明攻击者正有意识地瞄准持有量更大的个人目标;第三,在 Solana 等非比特币、非 EVM 链上,受害个体数量正显著增加。
综合这些因素来看,虽然比特币持有者比链上资产持有者更不易成为定向盗窃的受害者,但就失窃金额而言,比特币持有者往往遭受更惨重的损失。前瞻性启示在于:如果原生资产价值上升,个人钱包遭受的损失金额很可能随之增加。
暴力因素:当数字犯罪演变为实体犯罪
个人钱包盗窃事件中尤其令人不安的一类被称为"扳手攻击"——攻击者通过肢体暴力或胁迫手段迫使受害者交出加密货币持有权。如下图所示,2025年记录的物理攻击事件数量很可能达到历史次高年份的两倍。值得注意的是,由于大量案件未报案,实际数字可能远超统计值。
我们的分析显示,这类暴力事件与比特币价格的前瞻性移动平均线存在明显相关性,这表明资产价值的预期增长(以及对其未来上涨趋势的预判)可能会诱发更多针对已知加密货币持有者的机会型物理攻击。尽管此类暴力案件相对罕见,但其中涉及的致残、绑架和谋杀等肉体伤害维度,将这些案件的人文影响提升至非常规程度——我们将在后续案例研究中具体展开。
案例研究:区块链分析如何协助侦破菲律宾一起重大绑架案
暴力犯罪与加密货币洗钱的交织形成了复杂的调查难题,需要采用精密的分析方法。菲律宾近期一起重大案件展示了区块链分析如何能在最严重的刑事调查中提供关键线索。
2024 年 3 月,Elison 钢铁公司首席执行官 Anson Que 遭绑架杀害案震惊菲律宾商界。3 月 29 日,Que 及其司机 Armanie Pabillo 在布拉干省遭绑架。两人遗体后来在邻近的黎刹省被发现,双手被缚且有明显遭受殴打的痕迹。这起最初被认为是 2000 万比索赎金的绑架案,调查显示绑匪实际收取了约 2 亿比索赎金,家属支付赎金是希望 Que 能获释。
菲律宾国家警察(PNP) 指控赌场中介集团 9 Dynasty 和白马俱乐部在绑架案后协助实施了复杂的洗钱操作。该计划通过专门用于赌场游戏的电子钱包、空壳账户和数字资产,将原本以菲律宾比索和美元支付的赎金转换为加密货币,从而掩盖资金流向。
我们的 Chainalysis Reactor 团队与全球服务部门协同菲律宾国家警察(PNP)调查人员,共同追踪了勒索赎金的流转路径。区块链分析显示,分散支付的赎金经过一系列中间地址转移,资金在这些地址被归集后,又通过更多中间地址进行进一步洗钱。在 PNP 协助下,Chainalysis 通知了 Tether 公司并成功冻结了部分 USDT 形式的涉案资金。
值得注意的是,本案使用的洗钱手法相对初级——这种模式与许多采用加密货币看重其速度与表面匿名性,但缺乏专业技术的有组织犯罪集团特征相符。与传统金融调查中证据往往分散在不同机构的情况不同,区块链提供了唯一、权威且不可篡改的账本记录。这使得调查人员能够实时追踪资金动向,绘制犯罪网络图谱,并获取横跨多洲的破案线索。
安森·奎和阿曼尼·帕比略的悲惨离世让我们意识到这些罪行背后真实的人性代价。但他们的案件也证明,区块链技术不可篡改的特性可以成为正义的有力工具——确保那些剥削他人者无法轻易隐匿于数字阴影之中。
地域分布:全球受害者分布情况
通过结合 Chainalysis 的地理定位数据与已报告的资金被盗案件,我们可以估算个人钱包受害情况的全球分布。注:这些数据仅包含具有可靠地理定位信息且影响个人钱包的已知资金被盗事件,因此不能全面反映 2025 年全球所有资金被盗活动。
截至2025年,美国、德国、俄罗斯、加拿大、日本、印尼和韩国位居各国受害人数榜首,而东欧、中东与北非以及中亚南亚地区则呈现2024上半年至2025上半年受害总量增速最快的态势。
若以2025年每位受害者被盗金额为指标,则会呈现略有不同的国家排名。如下图所示,美国、日本和德国仍位居前十,但阿联酋、智利、印度、立陶宛、伊朗、以色列和挪威的受害者人均损失严重程度位列全球前列。
个人钱包资产被盗情况存在区域性差异
我们2025年的数据显示出加密货币盗窃案呈现区域集中化的新趋势。下图根据各地区年内被盗资产总价值进行排名。
北美地区在比特币和山寨币盗窃案中均占据主导地位,两类排名皆为第一。这种集中现象可能反映出该地区较高的加密货币采用率 ,以及存在能够针对大额个人持币的威胁行为者。 欧洲则在以太币和稳定币盗窃领域全球领先,这可能暗示着该地区对这些资产的采用率较高,或是攻击者更偏好流动性强、易于转移的资产。
亚太地区在比特币被盗总量中排名第二,以太坊被盗量排名第三,而中东南亚及大洋洲地区则在山寨币和稳定币被盗价值中位列第二。撒哈拉以南非洲地区的被盗金额始终处于最低水平(比特币被盗量倒数第二),这很可能反映出该地区财富水平较低,并不一定意味着当地加密货币用户的受害率更低。
加密货币洗钱经济学
了解被盗资金如何在加密货币生态系统中流动,能为预防和执法工作提供关键洞见。我们的分析显示,个人钱包入侵与服务攻击之间的洗钱行为存在显著差异,这反映出不同的风险特征和操作需求。
例如在 2024 至 2025 年期间,针对服务机构的威胁行为体大量使用跨链桥作为通过链跳转洗钱的手段。与针对个人钱包的窃贼相比, 混币器在针对服务机构的窃贼中扮演更重要的角色。相比之下,从个人钱包窃取的资金往往更多与代币智能合约交互(可能暗示进行代币兑换);将资金转入受制裁实体(特别是 Garantex),这可能暗示与俄罗斯作案者存在交集;以及流向中心化交易所(CEX),表明其洗钱技术相对不够复杂。
在洗钱过程中,窃取资金的不法分子始终支付高额费用转移非法所得,其成本随时间波动剧烈。值得注意的是,尽管 Solana 等区块链及各类二层网络的普及降低了整体交易成本,但同期这些不法分子支付的平均溢价反而更高。数据显示,虽然 2022 年至 2025 年至今的平均手续费下降了 89%,但窃取资金者支付的基础费率溢价同期却上涨了 108%。另一个显著现象是,针对服务机构实施攻击的黑客通常比个人钱包窃贼支付更高溢价,这可能反映了他们需要在资金被检测和冻结前紧急转移大额赃款。
这些模式也普遍表明,尽管绝大多数黑客攻击出于财务动机(6 月 19 日 Nobitex 遭黑客攻击就是近期一个明显的例外),但盗取资金的攻击者并不会优化链上交易成本,而是极度优先考虑交易速度和最终确定性。
有趣的是,并非所有被盗资金都会立即进入洗钱流程。尤其是个人钱包被盗事件中,大量资金往往滞留在攻击者控制的地址上,而非迅速通过链上洗钱或兑换成法币。这种犯罪分子的"持币"行为,可能反映出他们对操作安全性的自信,也可能只是模仿更广泛的加密货币投资策略。
预防与缓解策略
服务型钱包与个人钱包遭入侵事件的激增,要求我们采取多层次加密货币安全策略。对服务提供商而言,2025 年重大数据泄露事件的教训再次印证了以下要素的持续重要性:建立强大的安全文化、定期进行安全审计,以及实施能识别社会工程攻击的员工筛查流程。代码审计变得愈发关键,智能合约漏洞正成为日益增长的攻击途径。技术性钱包基础设施的改进(尤其是多重签名热钱包地址的实施)已被证明对机构安全至关重要,即便单个密钥遭泄露,仍能提供额外的保护层。
对个人而言,日益增长的个人钱包安全威胁要求从根本上重新评估安全实践。暴力攻击与比特币价格波动的关联性表明,操作安全(如对加密货币持有情况保密)可能与技术安全措施(如将资产转换为隐私币或使用冷钱包)同等重要。受害案件高增长国家的用户尤其需警惕自身数字足迹和人身安全。
此外,随着加密货币相关绑架案和暴力犯罪激增,现实世界的人身安全已成为紧迫问题。 多起针对加密货币富豪家庭的案件表明,数字资产持有者现在必须考虑传统的人身安全防护措施。这包括谨慎对待财富外露、避免在社交媒体透露加密资产持仓或交易动态,以及采取物理安全措施如改变日常行动路线、警惕被监视等。对于持有大量加密资产的人士,可能需要寻求专业安保咨询,因为数字财富与物理脆弱性的交叉地带产生了传统安防体系尚未完全应对的新型风险。
展望未来:关键转折点
2025年至今的数据清晰地展现了加密货币犯罪的发展态势。尽管整个生态系统在监管框架和机构安全实践方面已趋于成熟,但威胁实施者也相应提升了犯罪能力并扩大了攻击目标范围。
ByBit 遭黑客攻击事件表明,即便是行业内的成熟机构,面对高级持续性威胁时依然脆弱;而个人加密钱包被盗案件的激增,则显示出加密货币持有者正面临前所未有的风险。加密货币犯罪的地域扩张,以及资产价格与暴力攻击之间的关联性,使得本已严峻的安全形势更趋复杂。
然而,支撑这份报告的精细区块链分析技术,也为更有效的反制措施奠定了基础。执法部门凭借全面的交易分析能力,能够比以往更高效地追踪资金流向;而服务提供商则可根据观察到的攻击模式,实施更具针对性的安全防护。
加密货币行业正处在关键转折点。这种既能实现犯罪活动空前透明化分析、又能提供更有效预防与执法工具的技术特性,正面临双重考验。真正的挑战在于:如何快速部署这些能力以领先于快速演变的威胁。
进入2025年下半年,加密安全领域的风险已达历史峰值。随着全年被盗资金预计可能突破40亿美元大关,行业未来数月的应对举措,将决定加密犯罪是延续当前令人担忧的增长曲线,还是随着防御措施的成熟逐渐趋于平缓。