*本文为自动翻译版本,请以原文为准。
概括
- 预计到2025年,朝鲜黑客将窃取价值20.2亿美元的加密资产,比上一年增长51%,使总损失达到67.5亿美元。攻击次数呈下降趋势。
- 朝鲜通过在少数加密货币服务中安插 IT 人员,并利用复杂的冒充技术攻击管理层,成功从这些服务中窃取了巨额资金。
- 朝鲜偏爱使用中文洗钱服务、桥接服务和混合协议,并且往往在大规模盗窃发生后约 45 天内完成洗钱。
- 2025 年,个人钱包被盗事件激增至 158,000 起,受害者达 80,000 人,但总损失(7.13 亿美元)比 2024 年有所下降。
- 尽管去中心化金融 (DeFi) 中持有的资产总价值 (TVL) 有所增加,但 2024-2025 年黑客攻击造成的损失却得到了控制,这表明加强安全措施可能正在发挥作用。
2025年对于加密货币生态系统而言又是充满挑战的一年,盗窃案件数量持续攀升。我们的分析揭示了加密货币盗窃模式的转变,主要体现在四个方面:朝鲜仍然是最大的威胁;针对中心化服务的定向攻击愈发严重;消费者钱包被盗的风险日益增加;去中心化金融(DeFi)领域的黑客攻击趋势也开始出现分化迹象。
这些趋势在数据中清晰可见,凸显了不同平台和受害者群体中加密货币盗窃形势的显著变化。随着数字资产持续增长并不断攀升至新高,了解不断演变的安全威胁变得日益重要。
总体情况:2025年被盗金额超过34亿美元
从 2025 年 1 月到 12 月初,加密货币行业被盗金额超过 34 亿美元,其中仅2 月份对 Bybit 的攻击就造成了 15 亿美元的损失。
在这个总数背后,盗窃案的构成也发生了重要的变化:因个人钱包被盗造成的损失比例将显著增加,从 2022 年占总数的 7.3% 增加到 2024 年的 44%,如果 Bybit 事件没有产生重大影响,2025 年这一比例本应为 37%。
与此同时,由于私钥泄露,中心化服务遭受了巨大损失。尽管这些平台拥有丰富的资源和专业的安全团队,但由于根本性的安全挑战,它们仍然不堪一击。虽然此类事件发生频率较低(见下图),但一旦发生,后果极其严重,在2025年第一季度造成的损失占总损失的88%。
持续高额的盗窃金额表明,虽然加密货币安全在某些方面有所改善,但攻击者仍然可以通过多种方法取得成功。
前三大黑客攻击事件造成的损失占总损失的 69%,损失差距扩大了 1000 多倍。
虽然被盗资金的转移历来都是由规模异常巨大的事件推动的,但这一趋势在2025年更加显著。有史以来最大的黑客攻击事件与总体中位数的比率首次超过了1000倍。最大的几起事件窃取的资金是普通事件的1000倍,甚至超过了2021年牛市的峰值(以事件发生时的美元计)。
这种日益扩大的差距显著加剧了损失的集中性。2025 年排名前三的黑客攻击事件占所有服务损失的 69%,单次事件对年度总损失的影响尤为巨大。虽然事件数量波动较大,且中位损失会随着资产价格上涨而增加,但灾难性损失的风险正在加速上升。
尽管朝鲜加密货币数量有所下降,但它仍然是最大的加密货币威胁。
朝鲜民主主义人民共和国(朝鲜)仍然是加密货币安全面临的最大国家威胁,尽管分析显示攻击频率显著下降,但其窃取加密货币的金额仍然屡创新高。2025年,朝鲜黑客窃取了至少价值20.2亿美元的加密货币,比上一年增长了51%(比2024年增长了6.81亿美元)。就金额而言,这是有史以来最糟糕的一年,朝鲜发起的攻击占所有服务漏洞的76%,创下历史新高。这使得朝鲜加密货币被盗的累计总额至少达到67.5亿美元。
朝鲜攻击者主要利用加密货币服务中的IT人员获取特权访问权限并实施大规模攻击。2025年创纪录的损失很可能是由于攻击者通过交易所、托管机构和Web3公司的IT人员加强了初始访问权限和横向移动能力所致。
近年来,IT从业人员诈骗模式不断演变,不再局限于简单的员工渗透,而是越来越多地冒充知名Web3和人工智能公司的招聘人员,通过虚假的招聘流程获取受害者的凭证、源代码以及VPN/SSO访问权限。针对高管的社交工程技术也日益增多,这些技术源于IT从业人员诈骗,包括冒充战略投资者或收购公司,通过推介和模拟尽职调查来获取系统信息和基础设施访问权限。
与往常一样,朝鲜的攻击数量远超其他攻击者。如下图所示,2022年至2025年间,与朝鲜相关的黑客攻击集中在攻击数量最大的范围内,而非朝鲜的攻击则分布更为均匀。朝鲜的攻击目标是大型服务,以求最大程度地扩大影响。
尽管确诊病例数量大幅下降,但 2025 年的损失仍然创下历史新高,这被认为主要是由于 2 月份的 Bybit 事件造成的。
朝鲜独特的洗钱模式
2025 年初的大量涌入,以前所未有的方式揭示了朝鲜行为者如何大规模洗钱加密资产,暴露了他们独特的手段、操作偏好和弱点,使他们与其他网络犯罪分子区别开来。
朝鲜的洗钱活动呈现出一种独特的模式,超过60%的资金集中在50万美元以下的转账中。相比之下,其他犯罪分子主要转移100万至1000万美元的大额资金。朝鲜虽然窃取的金额巨大,但却将链上转账拆分成较小的金额,这体现了其洗钱活动的复杂性。
与其他犯罪分子相比,朝鲜更倾向于使用以下几种洗钱方式:
- 中文汇款和抵押服务(增长 355% 至 1000% 或更多):这些服务最具特色,依赖于讲中文的洗钱网络,洗钱者众多,合规控制往往很薄弱。
- 桥接服务(+97%):利用区块链之间的资产转移,使追踪变得复杂。
- 混合服务(+100% 差异):常用于隐藏资金流动。
- Huione 等专业服务(+356%):战略性地使用特定服务来促进清洁。
其他犯罪分子则专注于:
- 借贷协议(-80% 差异):朝鲜对这些去中心化的金融服务几乎没有用处。
- 无需 KYC 的交易(-75% 的差异):令人惊讶的是,其他犯罪分子比朝鲜人更常使用无需 KYC 的交易。
- P2P 交易平台(-64% 差异):朝鲜对 P2P 平台兴趣不大。
- 中心化交易所(-25% 差异):其他犯罪分子更多地与传统交易所互动。
- 去中心化交易所 (DEX)(-42% 差异):其他犯罪分子看重 DEX 的流动性和匿名性。
这些模式表明,朝鲜的运作受到的限制和目标与典型的网络犯罪分子不同。使用中文洗钱服务和场外交易商,与朝鲜行为者与亚太地区非法网络的密切合作,以及他们历史上利用中国网络进入国际金融体系的做法相符。
朝鲜黑客事件后洗钱活动的时间线
对朝鲜相关黑客攻击事件发生后的链上活动进行分析,可以发现存在一个多波次的洗钱链,其中被盗资金会在大约 45 天的时间内被逐步转移:
第一阶段:立即分层穿衣(第0-5天)
黑客攻击发生后,你会立即采取迅速行动,与你的资金来源撇清关系:
- 去中心化金融(DeFi)协议的资金流入最为显著(+370%)。
- 混合服务也出现了显著增长(+135-150%),首次形成了模糊层。
- 此阶段的目的是通过“初步行动”来分离资金。
第二波:早期巩固期(第6-10天)
进入第二周,我们将转向整合整个生态系统资金的策略:
- 流入设有 KYC 限制的交易所(+37%)和中心化交易所(+32%)的资金将开始。
- 二级混合服务(+76%)仍然被用于洗钱,但强度有所降低。
- 跨链桥(例如 XMRt,上涨 141%)可以分散和混淆资金。
- 这一阶段是资金退出的重要过渡时期。
第三浪:长尾盘整(第20-45天)
在最后阶段,能够帮助将货币兑换成法定货币或其他资产的服务更受欢迎:
- 无需 KYC 的交易平台(+82%)和土豆单宝等抵押服务(+87%)大幅增长。
- 即时兑换(+61%)和汇丰等中国平台(+45%)将成为最终的兑换点。
- 中心化交易所(增长 50%)也成为资金流入的目的地,一些交易所试图将这些资金与合法资金混合。
- 来自监管较少地区的平台,如中国洗钱网络(+33%)和 Grinex(+39%),也符合这一趋势。
这 45 天的清理窗口期为执法和合规官员提供了有用的见解:这种模式在多年的持续性表明,与朝鲜有关联的行为者获得金融基础设施的渠道有限,需要与特定的合作者合作。
虽然并非所有被盗资金都遵循这一时间线,有些情况下资金会被存放数月甚至数年,但这却是洗钱活动期间链上行为的典型特征。此外,值得注意的是,一些未在链上显示的活动,例如私钥转移和场外法定货币交易,如果没有其他信息,可能会成为分析中的盲点。
个人钱包泄露:对个人用户日益严重的威胁
通过链上模式分析以及受害者和行业合作伙伴的报告,零售钱包泄露事件的规模正变得越来越清晰。虽然实际泄露事件的数量可能高于估计值,但保守估计表明,到2025年,零售钱包泄露事件将占所有泄露事件的20%,低于2024年的44%。事件数量将达到15.8万起,几乎是2022年5.4万起的三倍。受害者人数也将翻一番,从2022年的4万人增加到2025年的至少8万人。加密货币的日益普及也是推动这一增长的因素之一。例如,Solana是拥有最活跃的零售钱包和最多受害者(约2.65万人)的区块链之一。
虽然网络攻击事件和受害者人数都在增加,但预计个人损失总额将从2024年的15亿美元下降到2025年的7.13亿美元。尽管攻击者瞄准的用户越来越多,但人均损失却呈下降趋势。
按网络划分的损失数据也揭示了哪些区域风险较高。下图显示了根据各区块链活跃钱包数量调整后的损失率。2025 年,以太坊和波场 (Tron) 的盗窃率最高。以太坊的案件数量和受害者人数众多,而波场尽管活跃钱包数量较少,但损失率也很高。另一方面,Base 和 Solana 尽管用户数量庞大,但损失率却很低。
这些差异表明,个人钱包面临的安全风险在整个加密货币生态系统中并不一致。即使技术基础设施相似,不同区块链的受害率差异也并非完全由技术因素造成,而是用户群体特征、热门应用和犯罪网络等其他因素所致。
DeFi黑客攻击:与往年不同的市场趋势
在去中心化金融(DeFi)领域,2025 年的犯罪数据显示,犯罪模式与历史趋势明显不同。
数据分析得出三个阶段:
- 第一阶段(2020-2021 年):DeFi TVL(持有的总资产)和黑客攻击损失同步增加。
- 第二阶段(2022-2023年):两项指标均下降。
- 第三阶段(2024-2025 年):TVL 恢复,但黑客攻击造成的损失仍然可控。
前两个阶段符合直觉:风险资产越多,犯罪分子可攻击的目标就越多,面临的攻击也就越多。然而,在2024-2025年,即使总损失值(TVL)显著回升,黑客攻击造成的损失却没有增加,这造成了一种不寻常的偏差。
造成这种差异可能有以下两个原因:
- 安全不断提升:尽管 TVL 不断增加,但黑客攻击率却持续保持低位,这可能表明 DeFi 协议正在采用有效的安全措施。
- 攻击目标的转变:随着个人钱包被盗和对中心化服务的攻击日益增多,攻击者可能会将注意力转移到其他领域。
案例研究:金星协议安全措施
2025年9月发生的Venus Protocol事件堪称安全措施演进的典型例证。攻击者利用被入侵的Zoom客户端渗透系统,诱骗受害者授予其对一个价值1300万美元账户的委托权限。虽然这通常会造成致命的后果,但Venus在一个月前部署了Hexagate安全监控平台。
该平台在攻击发生前18小时检测到可疑活动,并在恶意交易发生时立即向用户发出警报。20分钟内,Venus暂停了协议运行,阻止了资金泄露。响应流程如下:
- 5小时内:安全检查后部分功能已恢复
- 7小时内:攻击者的钱包被强制清算
- 12小时内:损失全部恢复,服务恢复。
值得注意的是,金星通过了一项治理提案,冻结了攻击者持有的 300 万美元资产,导致攻击者蒙受损失而不是获利。
这个案例表明,DeFi 领域正在建立一种新的安全系统,该系统结合了主动监控、快速响应和治理功能,即使在攻击发生后也能最大限度地减少或逆转损害,这与 DeFi 早期时代不同。
对2026年及以后的影响
2025 年的数据描绘了朝鲜作为加密货币威胁行为者演变的复杂图景。其仅凭少量攻击就能造成重大损失的能力表明,其攻击手段日益复杂且持续不断。在 Bybit 事件之后,朝鲜似乎在进行大规模盗窃后放慢了攻击节奏,转而将重心放在洗钱活动上。
加密货币行业需要保持警惕,密切关注大额交易目标,并加强对朝鲜洗钱模式的识别。朝鲜人在服务类型和汇款金额方面的一致性偏好为识别此类犯罪提供了契机,有助于将其与其他犯罪分子区分开来,并识别其链上行为。
随着朝鲜持续窃取加密资产以资助国家优先事项并规避国际制裁,业界必须认识到,这些行为者的行事规则与典型的网络犯罪分子截然不同。2025 年创纪录的损失发生在已知攻击数量下降 74% 的情况下,而我们可能看到的只是冰山一角。2026 年的挑战在于,如何在 Bybit 级别的事件再次发生之前,发现并阻止这些影响巨大的行动。
本网站包含指向第三方网站的链接,这些网站并非由Chainalysis, Inc.或其关联公司(统称“Chainalysis”)控制。访问此类信息并不意味着Chainalysis与该网站或其运营者存在任何关联、认可、批准或推荐关系,Chainalysis亦不对其托管的产品、服务或其他内容承担任何责任。
本资料仅供参考,不构成任何法律、税务、财务或投资建议。读者在做出此类决定前应咨询自身顾问。Chainalysis 对读者因使用本资料而做出的任何决定或任何其他作为或不作为概不承担任何责任。
Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该等材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔承担责任。
这篇题为“朝鲜加密货币盗窃案一年内金额高达20亿美元,创历史新高”的文章最初发表在Chainalysis网站上。
