2025年9月下旬,区块链侦查者发现日本加密企业SBI Crypto有关地址发生异常出金,随后链上证据显示约合2100万美元的比特币、以太坊及其他代币被转移并迅速通过多家即时兑换平台和混币器Tornado Cash清洗。公开分析将此次入侵与长期以来被指控为朝鲜国策黑客单元的拉撒路(Lazarus)集团联系在一起,令全行业对国家支持的黑客如何把加密资产变现的警觉再度升级。 事件回顾与链上线索 SBI Crypto作为日本SBI集团旗下的加密业务单位,其被盗资金流动被区块链分析师在9月24日率先标注。受影响的资产包含BTC、ETH、LTC、DOGE及比特币现金等多种币种,涉案地址以"0x40d7"和"bc1qx0a2k"等前缀出现。被盗资产经由至少五家即时兑换平台分散换手后,再汇入Tornado Cash等混币服务,从而试图打碎链上可追溯性。 侦查报告指出,作案手法在技术细节与资金切分节奏上,与此前多起被归因于朝鲜网络单位的事件高度相似。
攻击者利用多重地址、跨链桥与即时换币来扰乱资金轨迹,随后借助混币协议进一步抹除直接关联关系。尽管混币服务并非唯一选择,但它在短时间内对取证构成了显著阻碍。 拉撒路集团与朝鲜的加密掠夺背景 自2010年代起,安全社区便将一系列针对金融机构、加密交易所与区块链项目的高复杂度网络攻击与朝鲜相关单位联系在一起。近年来这些行动不仅规模更大,手法也更加多样化,范围涵盖钓鱼攻击、供应链入侵、钱包私钥窃取、智能合约漏洞利用以及复杂的资金洗白网络。 根据公开统计,朝鲜相关黑客在2024年被追踪记录的数十起案件中窃取了数亿美元,进入2025年后被指控的攻击与盗窃总量仍在攀升,使得对其以加密资产为财政来源的关注愈发强烈。 资金洗白路径与Tornado Cash的角色 Tornado Cash之所以引人注目,在于其混币机制能将大量来源不同的资产聚合并重新分发,从而在链上打破明显的资金溯源链。
Tornado Cash在2022年被美国财政部制裁,理由是其被用于处理与犯罪和国家行为体相关的非法资金。然而,随后的司法程序与监管动态使得该协议的限制出现变化,部分限制被法院裁定影响范围需重新评估,因此其再次被滥用的风险随之上升。 在SBI Crypto案中,攻击者先通过即时兑换平台将多种币种切分并换成目标混币协议可接受的主流代币,随后注入Tornado Cash进行混合,再通过一系列分散提现与场外兑换将资金转入更难追踪的法币或其它资产形态。 对链上取证与追踪的启示 区块链固有的可追溯性并非万无一失。攻击者通过多步骤多渠道的换币与混合策略,结合时间错峰操作与新旧地址并用,可以显著提高追踪难度。然而,链上取证依旧能提供重要线索,尤其是在资金流向、时间戳、交易模式与地址重复使用等方面。
有经验的链上分析团队会结合交易节奏、换汇对手、智能合约交互细节及以往攻击的"数字指纹"来建立攻击溯源模型。若能将链上数据与传统网络取证相结合,例如攻击时使用的基础设施、域名与托管服务记录、以及黑客活动的操作安全失误,越来越多案件得以拼凑出完整图景。 法律、合规与监管挑战 由国家支持的黑客组织利用去中心化工具实现资金转移,给监管带来了多重困境。一方面,混币协议的去中心化与开源特质使得直接监管执行变得复杂;另一方面,各国对加密资产的法规尚未统一,跨境合作在取证与冻结资产方面面临司法协调难题。 即便部分混币与服务被列入黑名单,黑灰产链条仍能替代性使用其他工具,包括去中心化交易所、跨链桥、以及新兴的合约级混合策略。监管的有效性在于协调应急冻结、提高交易平台的合规门槛与强化KYC/AML能力。
行业应对与安全加固建议 交易平台与矿池应将安全视为持续工程而非一次性投入。首先,加强冷热钱包隔离、引入多重签名与阈值签名方案、提升私钥存储与访问控制是基础性防护。其次,实行严格的提现与大额交易风控,配备实时链上异常监控与交易行为分析,当资金路径与历史模式出现偏离时应触发人工复核。 第三,提升供应链安全与第三方服务的审计深度。许多攻击是通过对供应商、节点软件或自动化脚本的妥协实现的,因此对依赖的软件库与服务进行持续安全评估十分关键。 第四,建立与执法机构和链上侦查公司的常态化合作机制,以便在发现可疑资金流动时迅速共享情报并协调冻结或追踪行动。
第五,提高员工与用户的安全意识,定期进行红队演练与应急预案演练,确保在遭遇入侵时能快速封堵并保留取证链路。 对于矿池尤其要重视节点密钥管理与矿工身份的验证,避免因单点被攻破导致大额资产外流。 技术与政策层面长期对抗的图景 朝鲜利用加密资产规避国际制裁的趋势,意味着数字金融与地缘政治之间的互动将更加密切。对策需要在技术追踪、国际司法协作、以及对去中心化金融工具的监管设计之间找到平衡点。当前技术社区与监管方正在探索可追溯的隐私保护方案、可查询的混合工具识别标准,以及提升跨链交易透明度的技术手段。 同时,市场参与者需意识到风险外溢的可能性。
一笔看似单独的黑客盗窃可能触发更加严厉的监管风潮,从而影响合规成本与业务模式。透明度与合规能力将成为交易所与服务商长期竞争力的重要组成部分。 结语 SBI Crypto被盗并通过Tornado Cash清洗的事件,再次提醒整个生态系统:去中心化工具带来的灵活性与隐私保护,也会被恶意参与者利用为洗钱与规避制裁的手段。面对愈发专业化与国家化的威胁,行业必须在技术防护、链上取证、合规建设与国际合作上同步发力,以确保数字资产市场的稳定性与可信度。对投资者与用户来说,选择有成熟风险管理与透明合规机制的平台,以及保持基本的安全防护意识,是降低遭受损失的实际路径。未来的博弈不会局限于技术层面,而将更多呈现为法律、外交与网络安全的综合竞合局面,所有市场参与者都需要做好长期应对的准备。
。
