2025年上半年加密貨幣犯罪趨勢：朝鮮被盜資金創歷史新高

*本文已自動翻譯。請參閱原文以獲取準確信息。

2025 年上半年加密貨幣犯罪的關鍵要點

被盜資金

• 2025年，加密貨幣服務被盜金額超過21.7億美元，超過2024年全年被盜金額總和。其主要原因是朝鮮對ByBit進行價值15億美元的黑客攻擊，成為加密貨幣歷史上最大的黑客事件。
• 截至 2025 年 6 月底，年初至今 (YTD) 的盜竊案比上一個最嚴重的年份 2022 年高出 17%。如果目前的趨勢繼續下去，到今年年底，從服務中竊取的資金可能會超過 40 億美元。
• 攻擊者越來越多地將目標鎖定在零售用戶身上，因為被盜個人錢包在整個生態系統中被盜資金中所佔的比例越來越大，佔 2025 年迄今所有被盜資金的 23.35%。
• “扳手攻擊”是指針對加密貨幣持有者實施身體暴力或威脅的攻擊，這種攻擊與比特幣價格波動有關，這表明在比特幣價格高漲期間，這種攻擊往往更具針對性。

國家/地區特徵

• 從被盜資金的去向來看，2025年被盜資金主要集中在美國、德國、俄羅斯、加拿大、日本、印度尼西亞、韓國。
• 按地區劃分，東歐、中東和北非以及南歐地區的受害者總數從 2024 年上半年到 2025 年上半年增長最快。
• 被盜資產類型存在明顯的地區差異，這可能反映了各地區採用加密貨幣的模式。

洗錢趨勢

• 針對服務的網絡攻擊和針對個人的網絡攻擊在洗白被盜資金的方式上有所不同：一般來說，針對服務的網絡攻擊者傾向於使用更為複雜的方法。
• 洗錢者為轉移被盜資金付出了高昂的成本，平均溢價從 2021 年的 2.58 倍增加到 2025 年迄今的 14.5 倍。
• 儘管在區塊鏈上轉移資金的成本逐年下降，但轉移被盜資金的平均成本的加價幅度卻在增加。
• 入侵個人錢包的網絡攻擊者越來越不願意立即清洗被盜資產，導致大量被盜資金滯留在鏈上。目前，從個人錢包中竊取的加密資產中，有 85 億美元被滯留在鏈上，而從服務中竊取的加密資產中，有 12.8 億美元被滯留在鏈上。

不斷變化的非法貿易環境

2025年，非法交易總額有望達到歷史新高，達到或超過去年預計的510億美元。與此同時，非法行為者的活動發生了重大變化，包括受制裁的俄羅斯加密貨幣交易所Garantex的關閉，以及金融犯罪執法局（FinCEN）對總部位於柬埔寨的中文服務公司Huione Group採取行動的可能性增加，Huione Group已處理超過700億美元的資金。這些變化正在影響犯罪分子在生態系統中轉移資金的方式。

在這些趨勢中，被盜資金交易已成為2025年最嚴重的問題。雖然其他非法活動逐年呈現出不同的趨勢，但加密貨幣盜竊案的急劇增加既對生態系統參與者構成了直接威脅，也對行業安全基礎設施構成了長期挑戰。

資金正以創紀錄的速度流出服務業

自2025年初以來，服務（平臺）資金被盜事件清楚地表明瞭威脅的日益嚴重。橙色線顯示了自年初以來的趨勢，截至6月，該數字已超過20億美元，這是上半年前所未有的激增。

我們的數據顯示，服務盜竊的數量只增不減，尤其是在 2025 年。2022 年是有記錄以來最嚴重的一年，盜竊金額達到 20 億美元用了 214 天，但 2025 年僅用了 142 天就達到這一數額，盜竊速度顯著加快。

雖然2023年和2024年的增幅相對較小，但截至6月底，2025年已比2022年增長了17.27%。如果這種趨勢持續下去，到2025年底，與服務相關的盜竊損失可能會超過43億美元。

ByBit 黑客攻擊：網絡犯罪的新威脅

朝鮮對 ByBit 的黑客攻擊對整個加密貨幣行業產生了重大影響。這起事件發生在 2025 年 2 月，造成 15 億美元的損失，約佔當年加密貨幣失竊案的 69%，成為歷史上規模最大的一起。這標誌著一個徹底的階段性轉變，突顯了在 2024 年下半年黑客損失暫時下降之後，由國家支持的攻擊者發起的新威脅的出現。

此次大規模數據洩露被視為朝鮮加強加密貨幣制裁規避措施的一部分。2024年，與朝鮮相關的加密貨幣損失總額達13億美元，為當時有記錄以來最嚴重的損失，預計2025年將超過這一數字。

此次攻擊似乎採用了朝鮮過去常用的複雜社會工程技術，包括劫持IT人員以入侵加密貨幣相關服務。聯合國最近的一份報告證實了這種策略的有效性，該報告稱西方科技公司正在利用該技術入侵其加密貨幣相關服務。

個人錢包：加密貨幣犯罪的新目標

Chainalysis 開發了新技術，用於識別和追蹤那些源自個人錢包、但被低估卻日益重要的盜竊活動。這種可見性的提升揭示了一個令人擔憂的趨勢：攻擊者的目標和攻擊手段正日益多樣化。

如下圖所示，針對個人錢包的攻擊在整個生態系統中被盜總額中所佔的比例一直在逐漸增加，這背後可能有多種因素。

1. 加強主要服務的安全性：攻擊者正在轉向個人，因為他們是更容易攻擊的目標。
2. 個人加密貨幣持有者增加：持有加密貨幣的個人數量正在增加。
3. 個人錢包中資產價值的增加：隨著主要資產的加密貨幣價格不斷上漲，個人錢包中存儲的加密貨幣的價值也在隨著時間的推移而增加。
4. 高級針對性攻擊方法的開發：易於部署的 LLM AI 工具的廣泛使用可能導致更復雜的針對性攻擊方法的開發。

我們對個人錢包中每筆被盜資產的價值進行分析，發現了三個主要趨勢：

• 首先，被盜資產中，比特幣佔比最大。

• 此外，持有比特幣的個人錢包遭受攻擊時的平均損失逐年增加，這表明攻擊者有意瞄準價值較高的錢包。

• 此外，我們看到越來越多的個人成為比特幣和 EVM 以外的區塊鏈（例如 Solana）的受害者。

這些趨勢表明加密貨幣安全變得越來越重要，用戶需要繼續密切關注最新的威脅趨勢，以確保保護他們的錢包。

與鏈上資產持有者相比，比特幣持有者遭受定向盜竊的風險較低，但損失可能更大。隨著原生資產市值上漲，個人錢包的損失也可能隨之增加。

該圖表顯示，從 2024 年末到 2025 年，針對 MetaMask 用戶的異常資金盜竊事件數量令人擔憂地增加。雖然 MetaMask 用戶此前也經歷過資金被盜率異常高的時期（尤其是在 2022 年中期和 2023 年末的集群事件），但異常事件的整體嚴重程度（以深藍色/黑色顯示）已顯著增加，2024 年末和 2025 年初的 MetaMask 事件每天導致近 500 名受害者。2025 年 6 月 6 日還出現了一次短暫的峰值（約 226 個錢包受害），這表明異常檢測技術正在實時應用於鏈上數據。

被盜資金損失出現如此異常激增可能表明存在多種潛在原因。

1. 錢包軟件本身的漏洞被攻擊者系統地利用（例如 Atomic Wallet 黑客攻擊）。
2. 出現常見的第三方基礎設施問題，例如受損的瀏覽器擴展和與這些流行錢包交互的惡意 dApp。
3. 或者它可能反映了這些平臺的用戶採用率不斷增長——目標池更大，使得協同攻擊更有利可圖，並且在彙總數據中更加明顯。

底線：到 2025 年，影響 MetaMask 用戶的異常事件的增加表明惡意行為者可能故意針對加密生態系統中廣泛使用的錢包應用程序，並且隨著加密採用的增長，我們可能會看到此類事件的增加。

暴力：當數字犯罪升級為實體犯罪

在個人錢包盜竊案中，一種特別令人擔憂的方法就是所謂的“扳手攻擊”，即攻擊者使用暴力或恐嚇手段竊取個人的加密資產。
如下圖所示，2025 年的人身攻擊數量可能是有記錄以來第二嚴重的一年的兩倍，而且由於許多事件未被報告，實際數量可能更高。

我們的分析發現，這些暴力事件與比特幣未來的移動平均價格之間存在明顯的相關性，這表明未來資產價值（以及對它的看法）的增長可能會引發針對加密貨幣持有者的進一步機會主義物理攻擊。
儘管這些暴力襲擊相對少見，但包括受傷、綁架和謀殺等人身傷害在內的物質層面的襲擊，使這些事件對人類的影響達到了更為嚴重的程度，我們將在下面的案例研究中更詳細地探討。

案例研究：區塊鏈分析助力菲律賓破獲綁架案

暴力犯罪和加密貨幣洗錢交叉的案件需要複雜的調查和先進的分析，菲律賓最近發生的一起備受矚目的案件證明了區塊鏈分析如何為最嚴重的刑事調查提供關鍵見解。

2024年3月，Elison Steel首席執行官Anson Que遭綁架謀殺，震驚菲律賓商界。3月29日，Que及其司機Armani Pabillo在布拉幹省被綁架，隨後在鄰近的黎剎省被發現遭到捆綁和毆打。最初報道的綁架案涉案金額為2000萬比索，但調查顯示，為釋放Que，已支付了約2億比索的贖金。

菲律賓國家警察局 (PNP) 稱，在綁架事件發生後，博彩中介人 9 Dynasty Group 和 White Horse Club 參與了一項複雜的洗錢計劃，通過電子錢包、虛擬賬戶和賭場遊戲數字資產將菲律賓比索和美元的贖金兌換成加密貨幣，以掩蓋資金來源。

我們的全球服務團隊利用Chainalysis Reactor與 PNP 調查人員合作追蹤贖金蹤跡。區塊鏈分析顯示，多筆贖金通過一系列中間地址進行轉移，然後通過其他中間地址進行洗錢。在 PNP 的協助下，Chainalysis 聯繫了 Tether，並與該公司合作成功凍結了部分 USDT 資金。

所採用的相對簡單的洗錢技術與許多利用加密資產但缺乏先進技術專長的有組織犯罪集團的模式一致。傳統的金融調查通常會將證據分散在多個機構，而區塊鏈則提供了一個單一、可靠且不可篡改的賬本，使調查人員能夠實時追蹤資金，獲得網絡可見性並獲得國際線索。

安森·庫和阿瑪尼·帕比洛的慘死提醒我們這些罪行背後生命的損失，但他們的案件也表明，區塊鏈技術的不可篡改性可以成為伸張正義的有力工具，使那些剝削他人的人無法輕易隱藏在數字黑暗中。

各國/地區受災情況

Chainalysis 將可靠的地理位置數據與已報告的個人錢包盜竊案例進行匹配，以估算全球範圍內的損失蔓延情況。本研究僅限於具有可靠地理位置信息的個人錢包盜竊案例，並不代表 2025 年全球範圍內被盜資金活動的全部範圍。

根據2025年的數據，零售錢包受害數量最多的國家是美國、德國、俄羅斯、加拿大、日本、印度尼西亞和韓國。此外，從2024年上半年到2025年上半年，受害數量增幅最高的地區是東歐、中東和北非地區以及南亞地區。

2025年的分析顯示，各國人均網絡盜竊金額存在顯著差異。美國、日本和德國繼續位居前列，但阿聯酋、智利、印度、立陶宛、伊朗、以色列和挪威等新國家也加入了這一行列，凸顯了全球網絡盜竊的嚴重性。

個人錢包被盜資產的區域趨勢

亞太地區 (APAC) 的比特幣盜竊案數量位居全球第二，ETH 盜竊案數量位居全球第三。相比之下，中亞和南亞大洋洲地區 (CSAO) 的山寨幣和穩定幣盜竊案數量排名第二。撒哈拉以南非洲地區的盜竊案數量一直最低（比特幣盜竊案數量排名倒數第二）。這反映出該地區的資產規模與其他地區相比較小，但並不一定意味著加密貨幣用戶成為受害者的可能性較小。

加密貨幣洗錢的經濟學

瞭解加密貨幣生態系統中被盜資金的流動情況，對於改進實時欺詐和黑客攻擊預防以及資產扣押響應至關重要。我們的分析表明，針對個人錢包的攻擊和針對服務（例如中心化交易所）的攻擊具有不同的風險特徵和運營要求，這導致洗錢行為存在明顯差異。

具體而言，在2024年和2025年，針對服務的網絡攻擊者將積極使用橋接和跳鏈作為洗錢手段。此外，針對服務的攻擊者使用加密貨幣混合器的情況比針對個人錢包的攻擊者更為普遍。

在轉移非法所得時，犯罪分子始終支付高額費用，而且這些費用在不同季節差異很大。值得注意的是，儘管由於 Solana、 Layer2等技術的普及，交易成本總體呈下降趨勢，但在同一時期，盜竊資金的犯罪分子平均仍支付更高的費用。

具體而言，雖然從2022年到2025年初，整體平均費用下降了89%，但資金被盜者支付的保費（在基本費用基礎上額外收取的費用）同期卻增長了108%。此外，針對加密貨幣交易所等服務的網絡攻擊者支付的保費往往高於針對個人錢包的攻擊者，這可能是因為他們需要在被發現和凍結之前迅速轉移大量資金。

大多數由黑客攻擊造成的加密貨幣盜竊都是出於經濟原因。然而，最近一個明顯的例外是2025年6月伊朗最大的加密貨幣交易所Nobitex約9000萬美元資產被盜。據稱，該事件是由一個帶有地緣政治目的的親以色列組織發起的攻擊。Chainalysis的分析表明，犯罪者使用的錢包是一個臨時的“銷燬地址”，並且無法訪問私鑰。因此，與傳統的金融黑客攻擊不同，這起盜竊案似乎是出於政治動機。

此外，人們普遍觀察到，許多資金被盜的犯罪者並不注重優化鏈上交易成本（費用），而是優先考慮資金轉移的速度和交易的最終性。這是因為犯罪者認為快速完成交易並降低被追蹤或封鎖的風險至關重要。

並非所有被盜資金都會立即進入洗錢環節。我們觀察到越來越多的案例，尤其是在個人錢包被盜的情況下，被盜資金仍留在鏈上，大量餘額存放在攻擊者控制的地址中。這些資金不會立即在鏈上被洗錢或兌換成法幣。這種“囤幣”行為表明，犯罪分子對其操作的安全性充滿信心，或者可能正在將被盜資金用作投資。

預防和降低風險的措施以防止損害

展望未來：行業的分水嶺

應對新威脅

在此處請求演示

本網站包含指向不受 Chainalysis, Inc. 或其關聯公司（統稱“Chainalysis”）控制的第三方網站的鏈接。訪問此類信息並不意味著 Chainalysis 與該網站或其運營商有任何關聯，亦不代表 Chainalysis 對其背書、認可或推薦，Chainalysis 也不對其中託管的產品、服務或其他內容承擔任何責任。

本材料僅供參考，不旨在提供法律、稅務、財務或投資建議。接收者在做出此類決定之前，應諮詢其顧問。Chainalysis 對接收者使用本材料做出的任何決定或任何其他作為或不作為概不負責。

Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性，並且不對因該材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠負責。

《2025 年上半年加密貨幣犯罪趨勢：朝鮮被盜資金創歷史新高》一文最先出現在Chainalysis上。