2025年上半年加密货币犯罪趋势：朝鲜被盗资金创历史新高

*本文已自动翻译。请参阅原文以获取准确信息。

2025 年上半年加密货币犯罪的关键要点

被盗资金

• 2025年，加密货币服务被盗金额超过21.7亿美元，超过2024年全年被盗金额总和。其主要原因是朝鲜对ByBit进行价值15亿美元的黑客攻击，成为加密货币历史上最大的黑客事件。
• 截至 2025 年 6 月底，年初至今 (YTD) 的盗窃案比上一个最严重的年份 2022 年高出 17%。如果目前的趋势继续下去，到今年年底，从服务中窃取的资金可能会超过 40 亿美元。
• 攻击者越来越多地将目标锁定在零售用户身上，因为被盗个人钱包在整个生态系统中被盗资金中所占的比例越来越大，占 2025 年迄今所有被盗资金的 23.35%。
• “扳手攻击”是指针对加密货币持有者实施身体暴力或威胁的攻击，这种攻击与比特币价格波动有关，这表明在比特币价格高涨期间，这种攻击往往更具针对性。

国家/地区特征

• 从被盗资金的去向来看，2025年被盗资金主要集中在美国、德国、俄罗斯、加拿大、日本、印度尼西亚、韩国。
• 按地区划分，东欧、中东和北非以及南欧地区的受害者总数从 2024 年上半年到 2025 年上半年增长最快。
• 被盗资产类型存在明显的地区差异，这可能反映了各地区采用加密货币的模式。

洗钱趋势

• 针对服务的网络攻击和针对个人的网络攻击在洗白被盗资金的方式上有所不同：一般来说，针对服务的网络攻击者倾向于使用更为复杂的方法。
• 洗钱者为转移被盗资金付出了高昂的成本，平均溢价从 2021 年的 2.58 倍增加到 2025 年迄今的 14.5 倍。
• 尽管在区块链上转移资金的成本逐年下降，但转移被盗资金的平均成本的加价幅度却在增加。
• 入侵个人钱包的网络攻击者越来越不愿意立即清洗被盗资产，导致大量被盗资金滞留在链上。目前，从个人钱包中窃取的加密资产中，有 85 亿美元被滞留在链上，而从服务中窃取的加密资产中，有 12.8 亿美元被滞留在链上。

不断变化的非法贸易环境

2025年，非法交易总额有望达到历史新高，达到或超过去年预计的510亿美元。与此同时，非法行为者的活动发生了重大变化，包括受制裁的俄罗斯加密货币交易所Garantex的关闭，以及金融犯罪执法局（FinCEN）对总部位于柬埔寨的中文服务公司Huione Group采取行动的可能性增加，Huione Group已处理超过700亿美元的资金。这些变化正在影响犯罪分子在生态系统中转移资金的方式。

在这些趋势中，被盗资金交易已成为2025年最严重的问题。虽然其他非法活动逐年呈现出不同的趋势，但加密货币盗窃案的急剧增加既对生态系统参与者构成了直接威胁，也对行业安全基础设施构成了长期挑战。

资金正以创纪录的速度流出服务业

自2025年初以来，服务（平台）资金被盗事件清楚地表明了威胁的日益严重。橙色线显示了自年初以来的趋势，截至6月，该数字已超过20亿美元，这是上半年前所未有的激增。

我们的数据显示，服务盗窃的数量只增不减，尤其是在 2025 年。2022 年是有记录以来最严重的一年，盗窃金额达到 20 亿美元用了 214 天，但 2025 年仅用了 142 天就达到这一数额，盗窃速度显著加快。

虽然2023年和2024年的增幅相对较小，但截至6月底，2025年已比2022年增长了17.27%。如果这种趋势持续下去，到2025年底，与服务相关的盗窃损失可能会超过43亿美元。

ByBit 黑客攻击：网络犯罪的新威胁

朝鲜对 ByBit 的黑客攻击对整个加密货币行业产生了重大影响。这起事件发生在 2025 年 2 月，造成 15 亿美元的损失，约占当年加密货币失窃案的 69%，成为历史上规模最大的一起。这标志着一个彻底的阶段性转变，突显了在 2024 年下半年黑客损失暂时下降之后，由国家支持的攻击者发起的新威胁的出现。

此次大规模数据泄露被视为朝鲜加强加密货币制裁规避措施的一部分。2024年，与朝鲜相关的加密货币损失总额达13亿美元，为当时有记录以来最严重的损失，预计2025年将超过这一数字。

此次攻击似乎采用了朝鲜过去常用的复杂社会工程技术，包括劫持IT人员以入侵加密货币相关服务。联合国最近的一份报告证实了这种策略的有效性，该报告称西方科技公司正在利用该技术入侵其加密货币相关服务。

个人钱包：加密货币犯罪的新目标

Chainalysis 开发了新技术，用于识别和追踪那些源自个人钱包、但被低估却日益重要的盗窃活动。这种可见性的提升揭示了一个令人担忧的趋势：攻击者的目标和攻击手段正日益多样化。

如下图所示，针对个人钱包的攻击在整个生态系统中被盗总额中所占的比例一直在逐渐增加，这背后可能有多种因素。

1. 加强主要服务的安全性：攻击者正在转向个人，因为他们是更容易攻击的目标。
2. 个人加密货币持有者增加：持有加密货币的个人数量正在增加。
3. 个人钱包中资产价值的增加：随着主要资产的加密货币价格不断上涨，个人钱包中存储的加密货币的价值也在随着时间的推移而增加。
4. 高级针对性攻击方法的开发：易于部署的 LLM AI 工具的广泛使用可能导致更复杂的针对性攻击方法的开发。

我们对个人钱包中每笔被盗资产的价值进行分析，发现了三个主要趋势：

• 首先，被盗资产中，比特币占比最大。

• 此外，持有比特币的个人钱包遭受攻击时的平均损失逐年增加，这表明攻击者有意瞄准价值较高的钱包。

• 此外，我们看到越来越多的个人成为比特币和 EVM 以外的区块链（例如 Solana）的受害者。

这些趋势表明加密货币安全变得越来越重要，用户需要继续密切关注最新的威胁趋势，以确保保护他们的钱包。

与链上资产持有者相比，比特币持有者遭受定向盗窃的风险较低，但损失可能更大。随着原生资产市值上涨，个人钱包的损失也可能随之增加。

该图表显示，从 2024 年末到 2025 年，针对 MetaMask 用户的异常资金盗窃事件数量令人担忧地增加。虽然 MetaMask 用户此前也经历过资金被盗率异常高的时期（尤其是在 2022 年中期和 2023 年末的集群事件），但异常事件的整体严重程度（以深蓝色/黑色显示）已显著增加，2024 年末和 2025 年初的 MetaMask 事件每天导致近 500 名受害者。2025 年 6 月 6 日还出现了一次短暂的峰值（约 226 个钱包受害），这表明异常检测技术正在实时应用于链上数据。

被盗资金损失出现如此异常激增可能表明存在多种潜在原因。

1. 钱包软件本身的漏洞被攻击者系统地利用（例如 Atomic Wallet 黑客攻击）。
2. 出现常见的第三方基础设施问题，例如受损的浏览器扩展和与这些流行钱包交互的恶意 dApp。
3. 或者它可能反映了这些平台的用户采用率不断增长——目标池更大，使得协同攻击更有利可图，并且在汇总数据中更加明显。

底线：到 2025 年，影响 MetaMask 用户的异常事件的增加表明恶意行为者可能故意针对加密生态系统中广泛使用的钱包应用程序，并且随着加密采用的增长，我们可能会看到此类事件的增加。

暴力：当数字犯罪升级为实体犯罪

在个人钱包盗窃案中，一种特别令人担忧的方法就是所谓的“扳手攻击”，即攻击者使用暴力或恐吓手段窃取个人的加密资产。
如下图所示，2025 年的人身攻击数量可能是有记录以来第二严重的一年的两倍，而且由于许多事件未被报告，实际数量可能更高。

我们的分析发现，这些暴力事件与比特币未来的移动平均价格之间存在明显的相关性，这表明未来资产价值（以及对它的看法）的增长可能会引发针对加密货币持有者的进一步机会主义物理攻击。
尽管这些暴力袭击相对少见，但包括受伤、绑架和谋杀等人身伤害在内的物质层面的袭击，使这些事件对人类的影响达到了更为严重的程度，我们将在下面的案例研究中更详细地探讨。

案例研究：区块链分析助力菲律宾破获绑架案

暴力犯罪和加密货币洗钱交叉的案件需要复杂的调查和先进的分析，菲律宾最近发生的一起备受瞩目的案件证明了区块链分析如何为最严重的刑事调查提供关键见解。

2024年3月，Elison Steel首席执行官Anson Que遭绑架谋杀，震惊菲律宾商界。3月29日，Que及其司机Armani Pabillo在布拉干省被绑架，随后在邻近的黎刹省被发现遭到捆绑和殴打。最初报道的绑架案涉案金额为2000万比索，但调查显示，为释放Que，已支付了约2亿比索的赎金。

菲律宾国家警察局 (PNP) 称，在绑架事件发生后，博彩中介人 9 Dynasty Group 和 White Horse Club 参与了一项复杂的洗钱计划，通过电子钱包、虚拟账户和赌场游戏数字资产将菲律宾比索和美元的赎金兑换成加密货币，以掩盖资金来源。

我们的全球服务团队利用Chainalysis Reactor与 PNP 调查人员合作追踪赎金踪迹。区块链分析显示，多笔赎金通过一系列中间地址进行转移，然后通过其他中间地址进行洗钱。在 PNP 的协助下，Chainalysis 联系了 Tether，并与该公司合作成功冻结了部分 USDT 资金。

所采用的相对简单的洗钱技术与许多利用加密资产但缺乏先进技术专长的有组织犯罪集团的模式一致。传统的金融调查通常会将证据分散在多个机构，而区块链则提供了一个单一、可靠且不可篡改的账本，使调查人员能够实时追踪资金，获得网络可见性并获得国际线索。

安森·库和阿玛尼·帕比洛的惨死提醒我们这些罪行背后生命的损失，但他们的案件也表明，区块链技术的不可篡改性可以成为伸张正义的有力工具，使那些剥削他人的人无法轻易隐藏在数字黑暗中。

各国/地区受灾情况

Chainalysis 将可靠的地理位置数据与已报告的个人钱包盗窃案例进行匹配，以估算全球范围内的损失蔓延情况。本研究仅限于具有可靠地理位置信息的个人钱包盗窃案例，并不代表 2025 年全球范围内被盗资金活动的全部范围。

根据2025年的数据，零售钱包受害数量最多的国家是美国、德国、俄罗斯、加拿大、日本、印度尼西亚和韩国。此外，从2024年上半年到2025年上半年，受害数量增幅最高的地区是东欧、中东和北非地区以及南亚地区。

2025年的分析显示，各国人均网络盗窃金额存在显著差异。美国、日本和德国继续位居前列，但阿联酋、智利、印度、立陶宛、伊朗、以色列和挪威等新国家也加入了这一行列，凸显了全球网络盗窃的严重性。

个人钱包被盗资产的区域趋势

亚太地区 (APAC) 的比特币盗窃案数量位居全球第二，ETH 盗窃案数量位居全球第三。相比之下，中亚和南亚大洋洲地区 (CSAO) 的山寨币和稳定币盗窃案数量排名第二。撒哈拉以南非洲地区的盗窃案数量一直最低（比特币盗窃案数量排名倒数第二）。这反映出该地区的资产规模与其他地区相比较小，但并不一定意味着加密货币用户成为受害者的可能性较小。

加密货币洗钱的经济学

了解加密货币生态系统中被盗资金的流动情况，对于改进实时欺诈和黑客攻击预防以及资产扣押响应至关重要。我们的分析表明，针对个人钱包的攻击和针对服务（例如中心化交易所）的攻击具有不同的风险特征和运营要求，这导致洗钱行为存在明显差异。

具体而言，在2024年和2025年，针对服务的网络攻击者将积极使用桥接和跳链作为洗钱手段。此外，针对服务的攻击者使用加密货币混合器的情况比针对个人钱包的攻击者更为普遍。

在转移非法所得时，犯罪分子始终支付高额费用，而且这些费用在不同季节差异很大。值得注意的是，尽管由于 Solana、 Layer2等技术的普及，交易成本总体呈下降趋势，但在同一时期，盗窃资金的犯罪分子平均仍支付更高的费用。

具体而言，虽然从2022年到2025年初，整体平均费用下降了89%，但资金被盗者支付的保费（在基本费用基础上额外收取的费用）同期却增长了108%。此外，针对加密货币交易所等服务的网络攻击者支付的保费往往高于针对个人钱包的攻击者，这可能是因为他们需要在被发现和冻结之前迅速转移大量资金。

大多数由黑客攻击造成的加密货币盗窃都是出于经济原因。然而，最近一个明显的例外是2025年6月伊朗最大的加密货币交易所Nobitex约9000万美元资产被盗。据称，该事件是由一个带有地缘政治目的的亲以色列组织发起的攻击。Chainalysis的分析表明，犯罪者使用的钱包是一个临时的“销毁地址”，并且无法访问私钥。因此，与传统的金融黑客攻击不同，这起盗窃案似乎是出于政治动机。

此外，人们普遍观察到，许多资金被盗的犯罪者并不注重优化链上交易成本（费用），而是优先考虑资金转移的速度和交易的最终性。这是因为犯罪者认为快速完成交易并降低被追踪或封锁的风险至关重要。

并非所有被盗资金都会立即进入洗钱环节。我们观察到越来越多的案例，尤其是在个人钱包被盗的情况下，被盗资金仍留在链上，大量余额存放在攻击者控制的地址中。这些资金不会立即在链上被洗钱或兑换成法币。这种“囤币”行为表明，犯罪分子对其操作的安全性充满信心，或者可能正在将被盗资金用作投资。

预防和降低风险的措施以防止损害

展望未来：行业的分水岭

应对新威胁

在此处请求演示

本网站包含指向不受 Chainalysis, Inc. 或其关联公司（统称“Chainalysis”）控制的第三方网站的链接。访问此类信息并不意味着 Chainalysis 与该网站或其运营商有任何关联，亦不代表 Chainalysis 对其背书、认可或推荐，Chainalysis 也不对其中托管的产品、服务或其他内容承担任何责任。

本材料仅供参考，不旨在提供法律、税务、财务或投资建议。接收者在做出此类决定之前，应咨询其顾问。Chainalysis 对接收者使用本材料做出的任何决定或任何其他作为或不作为概不负责。

Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性，并且不对因该材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔负责。

《2025 年上半年加密货币犯罪趋势：朝鲜被盗资金创历史新高》一文最先出现在Chainalysis上。