Global Ledger：加密货币洗钱仅需 2 秒，黑客抢在揭露前转走 76% 赃款

加密货币黑客现在最快能在攻击开始后2秒内转移赃款，在大多数情况下会在受害者披露资料泄露前就转移资产。Global Ledger 分析2025年255起加密黑客事件得出最明确结论。76%黑客攻击中资金在公开揭露前已转移，下半年这一比例上升至84.6%。

76%赃款在揭露前转移的速度革命

（来源：Global Ledger）

这种速度令人震惊。根据《Global Ledger》报道，76%的黑客攻击事件中，资金在公开揭露前就已经转移，下半年这一比例上升至84.6%。这意味着攻击者往往在交易所、分析公司或执法部门能够协调应对之前就采取行动。

这种“抢在揭露前”的策略极为高明。当黑客事件尚未公开时，被盗地址未被标记，交易所和区块链分析公司不知道这些地址是赃款。此时转移资金，可以畅通无阻地进行，不会触发任何警报或冻结。一旦事件公开，这些地址会被迅速列入黑名单，后续转移会面临重重障碍。

从2025上半年的76%上升到下半年的84.6%，显示黑客的速度还在加快。这种演进可能源于：自动化脚本的改进（黑客成功后立即触发转账脚本）、对受害者反应时间的精准计算，以及跨链桥等工具的成熟使转移更便捷。对受害者而言，这种速度意味着“发现被盗”与“资金已转走”之间的时间窗口接近于零，几乎没有冻结资产的机会。

然而，速度只能说明部分问题。虽然首次转账现在几乎是即时的，但完整的加密货币洗钱过程需要更长。2025年下半年，黑客平均需要大约10.6天才能到达交易所或混合器等最终存款点，而今年早些时候大约需要8天。简而言之，短跑速度更快，马拉松速度更慢。

加密货币洗钱的两阶段时间线

第一阶段（转移）：2秒内从受害地址转出，抢在揭露前

第二阶段（洗钱）：平均10.6天到达最终存款点，多层路由规避追踪

趋势变化：转移加快（84.6%揭露前完成）、洗钱放慢（从8天增至10.6天）

这种转变反映了揭露后监管的加强。一旦事件公开，交易所和区块链分析公司就会对地址进行标记，并加强审查。因此，攻击者会将资金分成更小的部分，并通过多层路由进行转移，然后再尝试兑现。

桥接20.1亿美元与Tornado Cash复活

（来源：Global Ledger）

桥梁已成为此过程的主要通道。近一半的被盗资金约20.1亿美元都是通过跨链桥转移的。这比通过混币器或隐私协议转移的金额高出三倍多。光是去年轰动市场的CEX被盗案中，94.91%的被窃资金就通过桥接器流动。

跨链桥成为加密货币洗钱主流工具的原因在于其便利性和隐蔽性。当黑客将以太坊上的赃款通过桥接转到BNB Chain或Polygon时，追踪难度大增。不同链的地址格式不同、区块链浏览器分离、以及执法机构需要跨链协调，这些因素都为黑客争取了时间。此外，许多小型链的监管和分析工具不如以太坊完善，转移到这些链后更容易“消失”。

20.1亿美元相当于2025年被盗总额40.4亿美元的约50%。这种高度集中于单一洗钱管道的现象，既是执法的机会也是挑战。机会在于，若能加强对跨链桥的监控（如要求桥接协议实施KYC、冻结可疑交易），可能拦截一半的加密货币洗钱活动。挑战在于，跨链桥通常是去中心化的，没有中央实体可以强制执行这些措施。

与此同时，Tornado Cash协议重新受到关注。该协议在2025年发生的黑客攻击事件中出现率高达41.57%。报告指出，受制裁政策变动的影响，其使用份额在下半年大幅增长。Tornado Cash是以太坊上的混币协议，它将多个用户的资金混合，使得追踪特定资金的来源变得极为困难。美国财政部在2022年将Tornado Cash列入制裁名单，但其智能合约仍在链上运行，无法被关闭。

41.57%的出现率显示，即使面临制裁风险，黑客仍大量使用Tornado Cash。这可能因为：制裁执行力度在川普政府时期减弱、黑客愿意承担制裁风险以换取隐私，或Tornado Cash的技术效果确实优于其他混币工具。这种“制裁失效”的现象，凸显了去中心化协议监管的根本困境。

一半赃款藏匿未动的诡异现象

同时，下半年直接提现到中心化交易所的资金大幅下降。DeFi平台被盗资金的份额不断上升。攻击者似乎会避开显而易见的提现管道，直到人们的注意力转移为止。值得注意的是，分析显示约有49%的被盗加密货币仍未被使用。这意味着数十亿美元仍留在某些人的钱包里，可能被用于未来的洗钱活动。

一半赃款未动是极为诡异的现象。这49%约相当于19.8亿美元，被黑客控制但尚未尝试变现或洗钱。可能的原因包括：黑客在等待案件热度降低再行动、资金量过大无法在短时间内洗清，或黑客本身就是长期投资者将比特币视为价值储存无需急于变现。

这种“藏匿”策略对追回资金是双刃剑。一方面，只要资金未动，理论上仍有追回可能，若执法机构能定位黑客并控制其私钥。但另一方面，这些资金可能在数月甚至数年后突然启动洗钱，届时案件热度已过，监控力度下降，成功洗清的概率更高。

问题的严重程度依然不容忽视。以太坊的损失高达24.4亿美元，占总损失的60.64%。总共发生了255起盗窃事件，涉案金额达40.4亿美元。然而，资金恢复情况仍然有限。只有约9.52%的资金被冻结，而最终返还的资金仅占6.52%。

这种极低的追回率（仅6.52%）是加密犯罪最令人沮丧的现实。在传统金融系统中，银行抢劫或电汇诈骗的追回率通常达30-50%，因为资金流经受监管的金融机构，可以冻结和追回。但在加密世界，一旦资金转入黑客控制的钱包，除非黑客自愿归还或被执法机构抓获，否则几乎无法追回。这种“一旦被盗、永久损失”的特性，是加密资产最大的安全风险之一。

综合来看，这些发现呈现出一个清晰的模式：攻击者在入侵后的最初几秒钟内以机器速度进行攻击。防守方反应迟缓，迫使犯罪者采取更为缓慢、精心策划的洗钱策略。这场竞赛并未结束，只是进入了一个新的阶段——一开始以秒计算，而结束时则以天计算。