跳到主要内容

820 亿美元的影子经济:专业加密货币洗钱网络如何成为全球犯罪的支柱

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

加密货币洗钱活动在 2025 年激增至 820 亿美元——与五年前的 100 亿美元相比增长了八倍。但真正的重点不在于这个惊人的数字,而在于金融犯罪本身的工业化。专业的洗钱网络现在每天通过基于 Telegram 的精密市场处理 4,400 万美元,朝鲜已将加密货币盗窃武器化以资助其核计划,而支持全球诈骗的基础设施增长速度比合法的加密货币采用速度快了 7,325 倍。业余加密货币罪犯的时代已经结束。我们已经进入了组织化、专业化的区块链犯罪时代。

定义 2025 年加密犯罪爆炸式增长的数据

Chainalysis 的《2026 年加密犯罪报告》描绘了链上非法活动的严峻形势。非法加密货币地址收到的资金至少达到 1,540 亿美元——比 2024 年修订后的 572 亿美元增长了 162%。其中,超过 820 亿美元流经了洗钱操作。

这种集中度令人震惊。中文洗钱网络 (CMLN) 现在约占所有已知非法洗钱活动的 20%,2025 年通过超过 1,799 个活跃钱包处理了约 161 亿美元。这些网络不仅仅是转移资金——他们还建立了包含专业服务类别的完整犯罪生态系统:跑分经纪人、钱骡、非正规场外交易 (OTC) 柜台、“黑 U”服务、赌博平台以及资金转移服务。

增长的速度揭示了这些基础设施扩展的速度。自 2020 年以来,流入已识别的中文洗钱网络的资金增长速度比流入中心化交易所的速度快 7,325 倍,比流入去中心化金融 (DeFi) 协议的速度快 1,810 倍,比非法链上内部流动的速度快 2,190 倍。

这并非渐进式演变,而是全球犯罪运作方式的结构性变革。

汇旺担保 (Huione Guarantee):全球最大非法市场剖析

在这个生态系统的中心是汇旺担保——这是一个基于 Telegram 的平台,区块链分析公司 Elliptic 将其称为“有史以来运营过的最大的非法在线市场”。这家总部位于柬埔寨的机构处理了超过 240 亿美元的交易,商家出售从被盗个人数据、现成的诈骗技术到专业洗钱服务的一切商品。

该平台的商业模式模仿了合法的电子商务。汇旺充当担保和信誉中心,连接非法服务的买家和卖家,并从每笔交易中抽成。自 2024 年 7 月以来,每月流入量增长了 51%,用户群激增至超过 90 万。

该平台的垮台源于协调一致的监管压力。2025 年 5 月 1 日,美国财政部金融犯罪执法局 (FinCEN) 根据《美国爱国者法案》第 311 条,将总部位于柬埔寨的汇旺集团 (Huione Group) 指定为“主要洗钱关注点”。FinCEN 记录显示,汇旺在 2021 年至 2025 年 1 月期间协助洗钱了至少 40 亿美元的非法资金,所得款项与杀猪盘诈骗、朝鲜 Lazarus Group 的网络盗窃案以及在东南亚运营的跨国犯罪集团有关。

到 2025 年 12 月,压力最终导致了银行挤兑。汇旺支付 (Huione Pay) 暂时停止了运营,冻结了提款,并关闭了其金边分行。客户在锁紧的门外排队的照片充斥着社交媒体。

但网络并未消失——它破碎化了。一个名为土豆担保 (Tudou Guarantee,在曝光后由汇旺担保更名) 的关联担保服务自 2026 年初以来已向商家退还了超过 1.3 亿 USDT。土豆本身处理了超过 120 亿美元的交易,使其成为有史以来第三大非法市场。基础设施依然存在;改变的只是品牌。

朝鲜 20 亿美元的加密货币抢劫行动

没有哪个角色比朝鲜更能说明加密犯罪的武器化。该国的国家赞助黑客——主要是 Lazarus Group(也被称为 TraderTraitor 和 APT38)——在 2025 年窃取了 20.2 亿美元的加密货币,分析师称这是他们在价值和复杂程度方面最具破坏性的一年。

仅 2025 年 2 月的 Bybit 黑客攻击就占了 15 亿美元——这是历史上最大的加密货币窃案。FBI 在攻击发生几天内就确认了朝鲜的责任。

此次执行展示了国家级水平的复杂性。Bybit 依靠第三方多重签名平台 Safe{Wallet} 来授权大额转账。2 月早些时候,Lazarus 特工对一名 Safe{Wallet} 开发人员进行了社交工程攻击,入侵了他们的工作站,窃取了 AWS 会话令牌,并绕过双重身份验证 (MFA) 以获得 Safe 的 AWS 账户访问权限。

从那里,黑客在 Safe 的网站中注入了专门为 Bybit 设计的休眠代码。当 Bybit 员工打开他们的 Safe 账户以授权常规交易时,代码检测到了该会话并替换了一个新命令——掏空了 Bybit 的资产。该员工在不知情的情况下授权了对自己的抢劫。

被盗资产迅速分散到多个区块链上的数千个地址中,转换为比特币和其他资产,预计所得款项最终将转换为法定货币,用于资助朝鲜的弹道导弹计划。根据 Elliptic 的估计,自 2017 年以来,朝鲜威胁行为者已窃取了超过 60 亿美元的加密资产。

补充背景:朝鲜黑客在 Bybit 的单次攻击中窃取的金额,比他们在 2024 年全年的 47 次加密货币抢劫总和(13.4 亿美元)还要多。

“杀猪盘” 产业体系

虽然国家级黑客经常占据头条,但对普通加密货币用户最普遍的威胁仍然是 “杀猪盘” 诈骗——这是一种长期的浪漫关系和投资欺诈,现已工业化为价值数十亿美元的犯罪产业。

其运作机制简单但极具破坏性。诈骗者通过数周或数月的时间与受害者建立虚假的浪漫或社交关系,在逐渐建立信任后,引导他们转向虚假的加密货币投资平台。受害者被伪造界面上显示的虚假利润 “养肥”,并被鼓励投入更多资金,最后当平台带着资金消失时,受害者就被 “宰杀” 了。

其规模惊人。德克萨斯大学的研究人员估计,自 2020 年 1 月以来,“杀猪盘” 诈骗已敛财至少 753 亿美元。据 Cyvers 称,仅 2024 年,以太坊上的 “杀猪盘” 计划就让受害者损失了超过 55 亿美元。FBI 互联网犯罪投诉中心报告称,2024 年加密货币欺诈损失达到 93 亿美元——比前一年增长了 66%。

2025 年,平均单笔诈骗支付金额从 782 美元增加到 2,764 美元,同比增长 253%。冒充类策略的资金流入同比增长了 1,400%。

或许最令人不安的是:75% 的受害者损失了超过一半的净资产。许多人损失了数十万美元,有些人甚至倾家荡产。

人力成本超出了受害者的范畴。这些运作依赖于强迫劳动。联合国估计,仅在柬埔寨和缅甸,就有超过 22 万人被关押在诈骗园区内,他们被高薪工作的承诺所诱惑,随后被困并被迫在暴力威胁下执行诈骗。发送这些信息的人往往本身也是人口贩运的受害者。

加密货币犯罪的职业化

2025 年加密货币犯罪格局的独特之处在于其职业化。犯罪企业现在效仿合法的企业运作,通过复杂的底层设施提供专业服务。

Chainalysis 发现了 “洗钱即服务” (laundering-as-a-service) 运作的出现——这是一种一站式解决方案,犯罪组织可以将转移非法资金的技术复杂性外包出去。这些服务提供端到端的犯罪基础设施,支持从朝鲜黑客收益到规避制裁和恐怖主义融资的所有活动。

主要的诈骗活动日益工业化,使用了网络钓鱼即服务工具、用于冒充的 AI 生成深度伪造 (deepfakes) 以及专业的洗钱网络。诈骗者利用 AI 来扩展规模——深度伪造视频、多种语言的 AI 编写信息,以及识别易受攻击个体的自动化目标定位系统。

基础设施在设计上具有韧性。当汇旺担保 (Huione Guarantee) 面临执法行动时,相关网络迁移到了替代渠道。Chainalysis 指出:“中文担保平台、资金转移服务和相关的金融犯罪网络揭示了一个复杂且具有韧性的生态系统,尽管面临执法压力,该系统仍在不断调整。针对担保服务的行动可能会起到破坏作用,但核心网络依然存在。”

稳定币:非法融资的首选载体

稳定币已成为非法交易的主导工具,目前占 2025 年所有非法交易量的 84%。原因很现实:稳定币提供了犯罪分子在业务运作、跨境转账以及最终兑换为法币时所需的流动性和价格稳定性。

这种集中化既带来了风险,也带来了机遇。稳定币发行商如 Tether 已经建立了执法合作伙伴关系——Tether 的 T3 FCU(金融犯罪部门)合作伙伴关系在识别出非法活动时能够实现大规模资金冻结。2025 年底与规避委内瑞拉制裁相关的 1.82 亿 USDT 冻结证明了这种能力。

但促成执法的中心化特性也吸引了寻求非法运作稳定性的用户。合规团队与犯罪网络之间的猫鼠游戏越来越多地在稳定币轨道上展开。

执法部门的反击

2025 年出现了破纪录的执法行动。11 月,英国伦敦大都会警察局在一场具有里程碑意义的加密货币洗钱案中获得定罪,该案导致了全球已知最大规模的加密货币查封——超过 61,000 枚比特币,当时价值约 50 亿英镑。

2025 年 9 月的一项行动发现,一名运营商在短短一年多的时间里通过加密货币交易所洗钱超过 1.9 亿美元。美国缉毒署 (DEA) 在 2025 年 7 月查封了与锡那罗亚卡特尔 (Sinaloa Cartel) 相关的 1,000 万美元加密货币。

中国当局在 2024 年起诉了 3,032 名与加密货币相关洗钱案件有关的人员,证明了执法行动正在跨越管辖边界。

然而,巨大的差距依然存在。截至 2025 年 4 月,138 个司法管辖区中仅有 40 个基本符合金融行动特别工作组 (FATF) 的标准。69% 的加密货币交易所未能满足 FATF 的 “转移规则” (Travel Rule) 要求。监管机制的碎片化使得复杂的犯罪组织能够进行 “监管套利” (jurisdiction shopping)。

地缘政治维度

犯罪活动的集中揭示了地缘政治的断层线。Chainalysis 将 2025 年非法交易量的很大一部分归因于一小部分国家关联行为体,主要由朝鲜、俄罗斯、与伊朗结盟的网络以及中国洗钱组织牵头。

俄罗斯的参与已超出了对犯罪网络的纵容,演变为直接参与。俄罗斯在 2025 年 2 月推出了其卢布支持的 A7A5 代币,在不到一年的时间里交易额超过 933 亿美元——为逃避制裁创建了国家赞助的基础设施。

中文洗钱网络主要利用中国的资本管制。寻求将资金移出中国的富有个人提供了流动性池,同时也为有组织犯罪集团提供服务。同样的基础设施既服务于资本外逃,也服务于犯罪活动。

朝鲜已将加密货币盗窃作为其经济生存战略的核心组成部分,直接利用 Bybit 等黑客攻击的收益资助武器计划。

未来趋势

820 亿美元的洗钱数字代表了下限——实际规模肯定更高,因为并非所有非法活动都被识别出来。专业化趋势没有减弱的迹象。犯罪基础设施将继续演进,利用 AI 实现规模化,并跨司法管辖区迁移以利用监管漏洞。

对于加密行业而言,这引发了关于该技术的声誉和监管轨迹的生存挑战。使区块链具有价值的相同特性——无许可访问、全球覆盖、可编程价值——也使其对非法融资具有吸引力。

应对措施可能需要技术和监管方面的创新:更好的链上分析、更快的跨司法管辖区执法协调、强制性的资金传输规则 (Travel Rule) 合规,以及可能在不牺牲去中心化的情况下增强可追溯性的新协议层功能。

1540 亿美元的非法流向约占加密货币总交易量的 0.5%——虽然比例很小,但绝对数值资助了严重的犯罪企业和国家层面的对手。行业如何应对这一挑战,将塑造其在未来几年与监管机构、机构和主流用户的关系。

将加密犯罪视为次要问题的时代已经结束。洗钱规模达到 820 亿美元,这已成为任何在这一领域进行构建的人的首要关注点。

BlockEden.xyz 为在 Ethereum、Solana、Aptos、Sui 和其他领先网络上进行构建的开发者提供具有全面安全监控的企业级区块链基础设施。随着加密行业努力应对合规性和安全挑战,具有适当安全保障的可靠基础设施变得至关重要。探索我们的 API 市场 以访问注重安全性的生产级区块链基础设施。

Share on Twitter