一名单独受害者损失了价值超过 2.82 亿美元的 比特币 (BTC) 和 莱特币 (LTC),区块链调查员 ZachXBT 将此描述为一起与硬件钱包相关的社会工程诈骗,也是目前 2026 年披露的最大个人盗窃案之一。
攻击者迅速开始洗钱,将被盗资产通过多家闪兑平台转换为门罗币(Monero)。ZachXBT 指出,这一活动与 XMR 价格的急剧上涨高度吻合。
ZachXBT 还表示,部分比特币被通过 THORChain 跨链桥接到其他网络,窃贼试图借此切断追踪线索。
硬件钱包是如何被“盗用”的
硬件钱包的设计初衷是保护私钥,但如今的骗局越来越多是针对“人”,而不是针对设备本身。
在社会工程攻击中,攻击者通常会冒充受害者信任的一方,制造紧迫感,逼迫受害者迅速行动,并诱导其批准恶意交易或泄露敏感信息。
其中的共性在于:受害者亲自“授权”了这次安全妥协——有时是签署了自己并未完全理解的交易,有时是照着一个看起来可信的“冒牌客服/朋友”的指令一步步操作。这使得预防问题不仅是安全技术问题,同样是教育和用户体验(UX)问题。
为何门罗币与跨链通道频频出现
注重隐私的资产和跨链通道在盗窃后的洗钱环节中反复出现,因为即使最初的盗窃行为在链上公开可见,这些工具也能显著增加追踪难度。
在这起案例中,攻击者通过闪兑平台将 BTC 和 LTC 换成门罗币,同时还将资金跨链桥接到其他网络。
调查人员和合规团队通常会关注一些模式,例如:快速、多次资产互换,不断在不同平台之间“跳跃”,以及频繁的跨链转账——这些操作往往意在打断链上资金流向的连续性,使溯源更困难。
另见:Here's How Iran Uses Bitcoin To Evade Sanctions And Finance Regional Proxies
近期主要加密盗窃与黑客事件
Bybit 被黑(2025 年 2 月):Bybit 表示,其以太坊钱包中约 15 亿美元加密资产被盗;FBI 随后将该事件归因于朝鲜网络攻击者。
Nobitex 遭攻击(2025 年 6 月):对伊朗交易所 Nobitex 的攻击造成约 9,000 万美元损失,区块链分析人士称其具有明显政治动机。
DMM 比特币被盗(2024 年 5 月):日本 DMM Bitcoin 报告称损失 4,502.9 枚比特币,当时价值约 3.08 亿美元,引发监管层高度关注。
Orbit Chain 漏洞利用(2024 年 1 月):跨链桥 Orbit Chain 遭遇 8,100 万美元漏洞攻击,再次凸显桥接协议的系统性风险。
Radiant Capital 安全事件(2024 年 10 月):安全分析显示,此次攻击的核心在于诱骗签名者批准恶意交易,是又一例典型的“人这一层”被攻破的案例。
黑客趋势(2024–2025):Chainalysis 报告称,2024 年共有约 22 亿美元被盗;随后 Chainalysis 指出,攻击正逐步集中在超大型“巨型黑客事件”,并且攻击重心正从 DeFi 协议转向中心化服务和个人目标。