黑客如何窃取加密货币

黑客如何窃取加密货币

核心要点

  • 区块链本身从未被攻破。几乎所有加密货币盗窃都是通过其周边的人员和系统发生的:钱包、界面、交易所以及人为失误。
  • 黑客无需破解加密。他们只需要你的私钥或助记词,而获取它的方式有很多,根本无需触碰任何一行代码。
  • 网络钓鱼是迄今为止最常见的攻击手段。假冒网站、恶意交易授权,以及由 AI 生成的身份冒充,如今在个人损失中占据了巨大比重。
  • SIM 卡劫持让攻击者能够劫持你的手机号码并绕过双重验证。
  • 智能合约漏洞和交易所被黑往往登上头条,但 2025 年的大多数损失来自被泄露的私钥和社会工程,而非代码漏洞利用。
  • 如果你的资金被盗,最初的 48 小时是最关键的窗口期。像 Match Systems 这样的机构能够跨链追踪被盗资金,并直接与交易所协作冻结资产——但前提是流程要足够早启动。

本文内容

  • 加密货币为何被盗——真正的原因
  • 网络钓鱼与社会
  • 工程
  • 私钥与助记词
  • 盗窃
  • SIM 卡劫持
  • 智能合约漏洞利用
  • 交易所与托管方被黑
  • 如果你成为目标该怎么办
  • 常见问题

加密货币为何被盗——真正的原因

有一种根深蒂固的假设认为,加密货币盗窃是一个密码学问题:某处有一位数学家破解了某个算法,或在区块链设计中发现了漏洞。这种假设是错误的,而且很关键,因为它会让人们把防御用错了地方。

区块链代码不会被黑。被黑的是私钥、助记词和人。

访问一个加密钱包只需要一样东西——控制它的私钥。这把钥匙存在于某处:某个文件里、某个浏览器扩展中、写在纸上、或记在脑中。无论它存在于何处,都可以在不触碰任何一行区块链代码的情况下被盗走。我们在调查中看到的大多数攻击手段,更接近传统诈骗,而非什么技术手段:欺骗、冒充、操纵。

其规模印证了这一点。FBI 的 2025 年互联网犯罪报告记录了来自美国民众的 181,565 起加密货币欺诈投诉,损失总额超过 110 亿美元。加密算法守住了,但围绕它的一切没有守住。

网络钓鱼与社会工程

在加密货币盗窃案件中,网络钓鱼作为切入点的比例高于任何其他手段。就单起事件而言它并非破坏力最大的路径,但它是迄今为止最常见的,而且越来越难以识别。

核心机制没有改变:让受害者交出凭证、签署本不该签的东西,或在攻击者控制的地方输入自己的助记词。改变的是欺骗的质量。

我们反复看到的一种模式是假冒钱包界面。用户搜索 MetaMask 或 Ledger Live,进入一个与真实网站一模一样的站点,然后输入助记词来「恢复」钱包。助记词被实时窃取。等他们意识到发生了什么,资金已经在转移了。

我们观察到的一种技术上更为复杂的变体是恶意授权交易。在 DeFi 中,几乎每一次与协议的交互都需要签署一次代币授权——这是一种允许智能合约动用你代币的权限。攻击者搭建假冒的 DeFi 网站,提示进行无限额授权。受害者签署了一笔看似例行的交易。攻击者的合约便可随意清空钱包,有时是在几小时或几天之后。

AI 彻底改变了这一切的成本结构。FBI 的 IC3 在其 2025 年报告中指出,深度伪造、语音克隆和由 AI 编写脚本的虚拟人物如今已是大规模社会工程的标准工具。2025 年有超过 22,000 起投诉涉及由 AI 助推的欺诈,损失超过 8.93 亿美元——而这仅仅是美国境内的数字。发起一场令人信服的活动的门槛实际上已经崩塌。

私钥与助记词盗窃

如果说网络钓鱼引发的事件最多,那么私钥与助记词盗窃则是每起案件造成损失最大的。助记词是钱包中一切的主钥匙。除非迅速启动专业调查,否则既没有恢复流程,也没有客服升级通道。

正如我们在工作中所见,遗憾的是,大多数受害者并未意识到有多少途径会暴露他们的助记词。信息窃取型恶意软件会扫描存储在文本文件、浏览器扩展和截图中的助记词。假冒的钱包应用会为用户生成一个助记词,然后悄悄将其传送给攻击者。云备份(iCloud、Google Photos)会把一张手写助记词的照片变成可远程访问的目标。

从追踪的角度看,助记词盗窃往往是最容易识别、却最难挽回的案件。盗窃交易是瞬时且彻底的。等受害者联系我们时,资金通常已经流经了多个钱包。近年来约 70% 的被盗加密资金都可追溯到某种形式的助记词暴露,这意味着我们看到的大多数案件本是可以避免的。

2025 年 2 月的 Bybit 被黑事件尤其具有启发意义:单次行动 15 亿美元,是史上最大的加密货币盗窃案。攻击者并没有利用智能合约漏洞。他们对 Bybit 的 Safe 多签钱包的一名内部签名人实施了社会工程,攻破了私钥,几分钟内便转走了 40 万枚 ETH。被攻破的不是交易所的边界防线,而是人这一层。

SIM 卡劫持

根据我们的经验,大多数 SIM 卡劫持的受害者直到手机失去信号时,才意识到攻击已经开始。到那时,攻击者已经收到了他们的短信验证码,并正在重置他们交易所账户的密码。

这种手段不需要任何技术能力。攻击者从数据泄露或社交媒体资料中收集个人信息(例如姓名、地址、社会安全号码的后四位)。他们打电话给受害者的移动运营商,冒充受害者,声称手机丢失或被盗,要求把号码转移到一张新的 SIM 卡上。一名在快速处理来电压力下的客服人员,就成了最薄弱的环节。

号码一旦被劫持,基于短信的双重验证便形同虚设。每一条验证码都发往攻击者。由此,他们重置邮箱账户,然后是交易所账户,再提走所有可用资金。

其规模急剧扩大。FBI 的 2024 年 IC3 报告追踪到 2,840 万美元有据可查的美国加密货币损失,明确归因于 SIM 卡劫持。2025 年 3 月,一家美国仲裁法庭在一起 SIM 卡劫持掏空客户加密货币持仓的案件后,判令 T-Mobile 赔偿 3,300 万美元。

2025 年 10 月,欧洲刑警组织捣毁了「SIMCARTEL 行动」——一个总部设在拉脱维亚的网络,为 80 个国家的欺诈者提供 SIM 卡基础设施,支撑着超过 4,900 万个虚假账户,用于绕过加密货币交易所、数字银行和社交平台上的双重验证。

智能合约漏洞利用

智能合约漏洞利用正是大多数人听到「加密被黑」时所想象的场景。它们真实存在、破坏力大,并且需要真正的技术水平——而这恰恰是它们不如上文所述手段常见的原因。

基本前提是:智能合约是代码;代码有漏洞;漏洞可被利用来掏空合约所持有的资金。攻击者不需要任何人的私钥——他们在逻辑中找到一处缺陷,直接用它来对付协议。

以下是我们在调查中最常见的几种变体:

  • 重入攻击(Reentrancy):合约被操纵,在更新其余额记录之前反复进行提款。The DAO 被黑事件在 2016 年开创了这一手法。当合约编写不够严谨时,它至今仍然奏效。
  • 预言机操纵:协议依赖来自外部预言机的价格数据源。能够在流动性稀薄的 DEX 上暂时推动价格的攻击者,可以诱骗一个借贷协议释放出远超应有数额的资金。
  • 逻辑缺陷:在边界情形处理中的设计错误。2025 年 5 月 Sui 上 Cetus DEX 的漏洞利用事件(2.23 亿美元)涉及伪造代币,它们滥用了协议计算流动性头寸方式中的一处缺陷。
  • 访问控制失效:未被妥善限制的管理员函数。一旦被利用,攻击者便可无限量增发代币、掏空金库,或彻底更改合约所有权。

有一种模式值得注意:智能合约漏洞利用越来越多地发生在漏掉了该漏洞的审计之后。一个协议经过审计、上线,随后正是被审计本应捕捉到的那类边界情形所掏空。

交易所与托管方被黑

中心化交易所是整个生态系统中价值最高的目标。它们把用户资金存放在为日常运营而必须保持联网的热钱包中。一次成功的入侵就可能获得数亿美元。攻击者深知这一点,并据此投入。

攻击面比大多数用户所意识到的更为广泛。这包括针对客服人员的网络钓鱼活动、被泄露的管理员凭证、心怀恶意的内部人员、有漏洞的第三方集成、API 密钥盗窃。在我们调查的许多涉及交易所层面损失的案件中,技术层面的入侵只是次要的,真正在前的是一步社会工程。

跨链桥(cross-chain bridges)尤其值得关注。它们是关键基础设施,因为可以在区块链之间转移资产,而其结构复杂,以种种方式引入了新的攻击面:验证者集合规模小、拥有特权的管理员密钥、处理多种资产类型的繁复逻辑。2025 年一起跨链桥漏洞利用事件因验证者设计中的一处缺陷造成了 7 亿美元损失。跨链桥仍是该领域中被持续利用最频繁的类别之一。

Bybit 是近期最能说明这类攻击实际如何展开的例子。攻击者从以太坊和 Arbitrum 上基于 Safe 的多签钱包中转走了 40.1 万枚 ETH。资金被拆分到数十个全新地址,并在数小时内通过跨链桥和混币服务转移。等交易所公开确认这起入侵时,洗钱已经开始。

攻击手段一览

攻击类型

主要目标

2025 年规模

关键防御

网络钓鱼与社会工程

个人用户

132+ 起事件,2025 年上半年损失 4.1 亿+美元

核实 URL;切勿分享助记词

助记词 / 私钥盗窃

个人钱包

17.1 亿美元——按价值计占上半年损失的 69%

硬件钱包;仅离线备份

SIM 卡劫持

交易所账户

英国激增 1,055%;美国损失 2,600 万+美元(2024 年)

用身份验证器应用取代短信双重验证

智能合约漏洞利用

DeFi 协议

25 起事件,每起平均 1,110 万美元(2025 年)

经审计的合约;使用成熟的协议

交易所 / 托管方被黑

中心化交易所热钱包

仅 Bybit 一家就达 15 亿美元(2025 年 2 月)

大额持仓采用非托管存储

如果你成为目标该怎么办

大多数受害者的第一反应是继续尝试访问钱包、联系交易所客服,或到论坛寻求帮助。这些都不是正确的第一步。

攻击者动作很快。在我们调查过的案件中,被盗资金在盗窃后 15 分钟内就被跨链转走。一小时内,它们已经过了三到四个中间钱包。12 小时内,便到达了一个 OTC 柜台或混币器。每一步都让追回更加困难。每过去一小时而没有专业人员介入,窗口就更窄一分。

当务之急:

  • 在做任何其他事情之前,先记录盗窃交易的哈希值和攻击者的钱包地址。这是每一次调查的起点。
  • 不要向任何声称提供追回帮助的地址再转入资金。针对盗窃受害者的后续骗局极为常见,而且屡屡得手,因为受害者已经走投无路。
  • 在可能的情况下,先联系专业机构,再去报警。与官方执法请求相比,交易所的配合通过调查人员的直接渠道推进得更快,而执法请求可能需要数周。
  • 如果盗窃涉及 SIM 卡劫持,请立即通过运营商锁定你的移动账户,并撤销所有关联账户上基于短信的双重验证。
  • 如果被盗资金中包含 USDT 或 USDC 等稳定币,请联系一家能够与执法部门协调、向发行方申请冻结的机构。Tether 和 Circle 可以应当局要求冻结特定地址,但前提是资金仍然在原处。

大多数追回了部分资金的受害者,之所以能做到,是因为他们在最初的 24 到 48 小时内采取了行动。而大多数一无所获的人,则是等得太久、尝试了外行的追回办法,或最先联系了错误的人。

常见问题

被盗的加密货币真的能追回吗?
在许多情况下可以——尤其是当盗窃被迅速上报,且资金在到达一个不予配合的司法管辖区或被完全兑换之前就被追踪到时。当涉及稳定币时,追回的可能性更大,因为发行方可以应执法部门的要求冻结特定地址。Match Systems 同时与交易所和执法部门协作,以支持这一流程。没有任何正规机构会保证追回,但及早行动会显著提高成功几率。

硬件钱包能防止盗窃吗?
它们通过让私钥保持离线,大幅缩小了攻击面。但它们并不能消除风险。无论钱包类型如何,网络钓鱼、实物盗窃和助记词暴露都仍然是威胁。硬件钱包是保护大额持仓的正确工具——但它不能替代对威胁态势的理解。

DeFi 比使用中心化交易所风险更高吗?
它们承担的风险不同。DeFi 让你面临智能合约漏洞和基于授权的网络钓鱼,但你保留着对资金的掌控权。中心化交易所更便捷,却引入了托管风险:如果交易所被黑,你的追索完全取决于它们的保险和储备。两者都不是绝对更安全。

什么是恶意授权交易?
DeFi 交互需要签署代币授权——即允许某个合约动用你代币的权限。攻击者搭建假冒的 DeFi 网站,提示进行无限额授权。一旦签署,他们的合约便可在任意时刻清空你的钱包。请定期审查并撤销旧的授权。

盗窃发生后,调查人员如何追踪资金?
调查人员绘制交易图谱,从盗窃地址出发,经由中间钱包,直至交易所的充值地址。当资金到达一个经过 KYC 验证的交易所时,会向该交易所的合规团队发出法律通知。Match Systems 将这种区块链追踪与已建立的交易所关系相结合,这意味着让资金被标记的流程,会比标准的执法请求快得多。

在加密盗窃调查中,时间的重要性超出大多数受害者的想象。

一旦资金被跨链转移、混合,或通过 OTC 渠道提走,追回就会变得困难得多。Match Systems 与交易所、稳定币发行方和执法部门协作,追踪被盗资产并支持合法追回——凭借专有的地址标记数据库和直接的合规关系,将时间从数周压缩到数天。

开始你的案件评估:https://matchsystems.com

热门文章

提交申请

留下申请

如何联系您?

请根据所选的联系方式,填写您的 Telegram 用户名或电子邮箱。