加密货币被盗后应立即采取的措施

加密货币被盗后应立即采取的措施

要点速览

  • 在 2025 年记录到的最快黑客攻击中,被盗加密货币在失窃后数秒内就被转移,并在几分钟内被彻底洗白。你察觉之后的最初 60 分钟,是决定大多数结果的关键环节。
  • 首要任务是遏制:撤销任何恶意授权、断开被入侵的会话,并在确实可行时抢救剩余资金。证据固定紧随其后。
  • 把被入侵的钱包视为已不再属于你。停止与它交互,除非你已备好一台干净的设备和一个全新的钱包,否则不要发送「抢救」交易。
  • 如果你的手机失去信号,或你在某个网站上签署了什么,这些细节都很重要。它们能为调查人员指出攻击途径,并影响应对方式。
  • 如果被盗资金包含稳定币,最初 60 分钟是通过执法机构冻结最有可能实现的时候。一旦资金被兑换出稳定币形态,这一选项便会关闭。
  • 在做任何其他耗时的事情之前,先联系 Match Systems。我们越早看到交易哈希,可操作的踪迹就越多。

本文内容

  • 为何最初 60 分钟如此重要
  • 第 0-15 分钟:止血
  • 第 15-30 分钟:确认并固定
  • 第 30-45 分钟:锁定关联账户
  • 第 45-60 分钟:让专业人员介入
  • 60 分钟清单
  • 第一小时之后
  • 常见问题

为何最初 60 分钟如此重要

在我们的工作中,我们看到有一个单一变量将以追回告终的案件与未能追回的案件区分开来。它不是盗窃的规模,也不是攻击者的老练程度,而是受害者行动的速度。

原因归结于被盗加密货币转移的速度。区块链分析公司 Global Ledger 的一项 2025 年研究分析了上半年的 119 起黑客攻击,发现在记录到的最快案例中,资金在入侵后四秒内就发生了转移——比交易所或 DeFi 平均预警系统快 75 倍以上。在另一起事件中,整个洗钱过程仅耗时两分钟 57 秒,比笔记本电脑屏幕的息屏时间还短。等到多数受害者刚确认盗窃已经发生时,资产早已在流动之中。

同一研究发现,在 68% 的案件中,黑客在攻击被公开知晓之前就已转移资金,而每四起黑客攻击中就有一起在任何预警发出之前就被彻底洗白。到 2025 年下半年,这一数字已升至 84.6%。

这正是最初 60 分钟分量如此之重的原因。受害者花在惊慌、在 Telegram 上发帖或随意尝试各种追回网站上的每一分钟,都是攻击者用来将资金分散到多个钱包、通过 DEX 兑换,或跨链桥转移到监控较弱的链上的时间。窗口并不会在一小时的节点关闭,但它会随着每一分钟的流逝而急剧收窄。你在最初 60 分钟内所做的,正是你最能掌控的部分。

第 0-15 分钟:止血

最初 15 分钟应当产出一件事:遏制。如果还有什么可以追回,那就是现在。

如果你在被入侵的同一钱包中仍有贵重资产,最紧迫的问题是它们能否转移到安全之处。诚实的说法是,这完全取决于盗窃是如何发生的。如果你的助记词或私钥已泄露,那么无论钱包里还剩什么,它都已不再属于你。攻击者通常会运行自动化脚本,在任何转入的 gas 一到账的瞬间就将其扫走,因此发送抢救交易往往会失败,只会把 gas 费拱手送给他们。真正的抢救需要一台干净的设备,以及一个密钥从未接触过被入侵环境的全新钱包。即便如此,也要将其视为一次低概率的尝试。迅速行动、预期它会失败,且不要为追一个追回而再转入更多资金、加重损失。

如果盗窃涉及的是恶意授权或 Permit 签名,而非助记词泄露,情况就不同了。攻击者持有随到随取代币的长期许可,但钱包本身仍在你的掌控之中。打开你钱包的已连接网站和代币授权面板,撤销一切授予陌生地址的权限。这是唯一一项真正因立即执行而受益的操作,即使最初的盗窃已经完成,它也能阻止持续的损害。

如适用,断开任何浏览器扩展钱包与你交互过的可疑网站的连接。关闭浏览器标签页,不要刷新或再次访问该网站。遏制处理完毕后,你已尽力限制了额外损失。下一优先事项是记录已被盗走的东西。

第 15-30 分钟:确认并固定

现在的优先事项是就被盗内容建立一份完整记录。没有它,调查人员之后所做的一切都无从下手。

打开一个区块链浏览器(Ethereum 用 Etherscan,Tron 用 Tronscan,BNB Chain 用 BscScan,等等),找到那笔未授权交易。不要依赖你钱包的界面——老练的攻击者可以操纵它。区块链才是真相之源。

请固定以下内容:

  • 盗窃交易的交易哈希(在多数链上是一串以 0x 开头的长字母数字字符串)
  • 攻击者的收款地址
  • 金额和代币类型
  • 确切的时间戳
  • 显示上述全部内容的浏览器页面截图

如果涉及多笔交易,请全部固定。有些盗币程序会将盗窃分拆为多笔转出、发往多个全新地址;调查人员需要完整的图景,而不仅仅是第一笔。

如果你掌握任何关于盗窃如何发生的背景(你点击的链接、你签署的交易、失去信号的手机),趁记忆尚新,现在就写下来。哪怕是不确定的细节也很重要。

第 30-45 分钟:锁定关联账户

加密货币盗窃很少是单一钱包事件。取得一个立足点的攻击者往往会转向其他目标,而钱包周边的关联账户通常就是下一个。

先更改你电子邮箱账户的密码。几乎每个与加密相关的账户都通过邮箱来重置密码,因此拥有邮箱访问权限的攻击者可以顺藤摸瓜进入交易所账户、托管钱包和找回流程。请使用新密码,并从一台干净的设备上设置。

更改你使用的任何中心化交易所账户的密码,并立即检查安全设置。用身份验证器应用或硬件密钥取代基于短信的双因素认证。短信双因素认证可被 SIM 卡调换攻破,而我们调查的许多案件正包含这一步骤。

如果在你察觉盗窃之前的几分钟或几小时里,你的手机突然失去信号,请将其视为可能正在进行的 SIM 卡调换。用另一部手机拨打你的移动运营商电话,锁定账户,并要求确认近期没有任何 SIM 卡转移被授权。你联系他们这一事实本身,也是证据链的一部分。

第 45-60 分钟:让专业人员介入

到第 45 分钟,证据已固定、即时敞口已封堵、关联账户已加固。第一小时剩下的优先事项,是把案件交到能够对其采取行动的人手中。

此时该联系 Match Systems 了。我们首先要的是交易哈希和攻击者地址——正是最初 15 分钟固定的那些证据。由此,调查随即展开:绘制地址图谱、识别资金正流向哪些交易所或服务,并为该案件确定最有效的应对路径。调查人员与交易所合规团队之间的直接关系,比单靠官方渠道周旋要快得多;我们越早看到案件,这种关系能产生的主动权就越大。

如果被盗资产包含 USDT 或 USDC 等稳定币,这一小时就更为重要。Tether 和 Circle 可应执法机构请求限制特定地址,而这一介入途径在资金仍为稳定币形态时最有可能实现。我们会与当局协调以启动该流程。一旦资金被兑换出去,该选项便会关闭。

有些受害者也想在这一窗口内报警或联系国家网络犯罪部门。这是恰当的,但不应取代联系调查人员。官方渠道往往需要数周才能产生行动,而通过专业机构进行的交易所侧介入可以在数小时内推进。

60 分钟清单

时间 优先事项
第 0-15 分钟 如果你的钱包并未被完全攻破,撤销陌生的代币授权并断开与可疑网站的连接。若仅是授权签名被滥用,从一台干净设备发起抢救交易可能可行。切勿盲目发送抢救交易;如果你的助记词已泄露,攻击者的脚本很可能会拦截它。
第 15-30 分钟 在区块链浏览器上找到盗窃交易。固定交易哈希、攻击者地址、金额、代币和时间戳。记下关于其如何发生的任何背景。
第 30-45 分钟 更改电子邮箱和关联交易所账户的密码。用身份验证器应用取代短信双因素认证。如果手机失去信号,致电运营商并锁定账户。
第 45-60 分钟 带上交易哈希和攻击者地址联系 Match Systems。如果被盗的是稳定币,此时通过执法机构冻结最有可能实现。

第一小时之后

第一小时关乎分诊。随后的数小时和数天,则关乎保全选项并支持业已展开的调查。

不要向任何主动联系你、提供追回服务的人付款。盗窃发生后数小时内,受害者常会被承诺预付费用即可追回被盗资金的账户搭讪。这些几乎总是后续骗局,有时由最初盗走资金的同一伙人操作,他们照着一份新近受害者的名单行事。没有任何正规机构会要求你向某个钱包转入加密货币以「解锁」你被盗的资金,也没有任何正规机构会保证追回。

保存一切。截图、消息记录、电子邮件,任何记录了事情经过或起因的东西。其中一部分对法律程序很重要,另一部分对调查本身很重要。

与你已委托的调查人员保持联系。工作会持续进行,往往悄无声息,历时数天或数周。沟通越密切,在机会出现时把握它的可能性就越大。

常见问题

黑客转移被盗加密货币的速度究竟有多快?

比多数人想象的要快。在 Global Ledger 于 2025 年分析的有据可查的案例中,黑客攻击后最快的首次转移为四秒,而最快的完整洗白用时不到三分钟。在 68% 的案件中,资金在入侵被公开知晓之前就已转移。这正是第一小时如此重要的原因。介入窗口以分钟计,而非以天计。

如果我在一小时之后才发现盗窃,还能追回加密货币吗?

通常可以,但胜算取决于这期间发生了什么。已到达中心化交易所但尚未提现的资金,仍可通过向合规部门发出的法律通知加以标记。尚未被兑换的稳定币,仍可应执法机构请求由发行方冻结。在头一天内报案的案件,通常前景最好。拖延越久,踪迹越是碎片化。

我应该把剩余资金从被黑的钱包转出吗?

仅当你拥有一台干净的设备、一个密钥从未泄露的全新钱包,并对尝试可能失败抱有现实预期时才这样做。如果你的助记词已被泄露,攻击者往往会运行脚本即时扫走转入的 gas,因此抢救交易可能把 gas 送给他们却一无所获。请先固定证据,再根据剩下什么以及盗窃如何发生,来决定是否值得尝试抢救。

我需要立即报警吗?

报案是恰当的,但它不应是你唯一做的事,也不应耽误联系调查人员。官方执法渠道往往需要数周才能产生行动。与交易所合规团队有直接关系的专业调查机构可以在数小时内推进。两者并行是标准做法,而先做哪一项的顺序,可由你委托的调查人员为你建议。

一旦联系上,Match Systems 究竟会做什么?

一旦拿到交易哈希和攻击者地址,我们便跨钱包和链绘制资金流向,识别被盗资产最有可能触及受监管交易所的交汇点,并与这些交易所的合规团队协调以标记或冻结账户。若涉及稳定币,我们会与执法机构协调以启动发行方冻结。这项工作程序性强、对时间敏感,开始得越早,可操作的踪迹就越多。

在加密货币盗窃调查中,时间的重要性远超多数受害者的想象。

一旦资金被跨链、混币或通过 OTC 渠道提走,追回就会变得困难得多。

Match Systems 与交易所、稳定币发行方和执法机构合作,追踪被盗资产并支持法律追回,依托一个专有的地址标注数据库,以及多年主动调查中建立起来的直接合规关系。

开始案件评估:https://matchsystems.com

热门文章

提交申请

留下申请

如何联系您?

请根据所选的联系方式,填写您的 Telegram 用户名或电子邮箱。