Global Ledger：加密貨幣洗錢僅需 2 秒，駭客搶在揭露前轉走 76% 贓款

加密貨幣駭客現在最快能在攻擊開始後 2 秒鐘內轉移竊取資金，在大多數情況下會在受害者披露資料外洩前就轉移資產。Global Ledger 分析 2025 年 255 起加密駭客事件得出最明確結論。76% 駭客攻擊中資金在公開揭露前已轉移，下半年這一比例上升至 84.6%。

76% 贓款在揭露前轉移的速度革命

（來源：Global Ledger）

這種速度令人震驚。根據《Global Ledger》報導，76% 的駭客攻擊事件中，資金在公開揭露前就已經轉移，下半年這一比例上升至 84.6%。這意味著攻擊者往往在交易所、分析公司或執法部門能夠協調應對之前就採取行動。

這種「搶在揭露前」的策略極為高明。當駭客事件尚未公開時，被盜地址未被標記，交易所和區塊鏈分析公司不知道這些地址是贓款。此時轉移資金，可以暢通無阻地進行，不會觸發任何警報或凍結。一旦事件公開，這些地址會被迅速列入黑名單，後續轉移會面臨重重障礙。

從 2025 上半年的 76% 上升到下半年的 84.6%，顯示駭客的速度還在加快。這種演進可能源於：自動化腳本的改進（駭客成功後立即觸發轉帳腳本）、對受害者反應時間的精準計算、以及跨鏈橋等工具的成熟使轉移更便捷。對受害者而言，這種速度意味著「發現被盜」與「資金已轉走」之間的時間窗口接近於零，幾乎沒有凍結資產的機會。

然而，速度只能說明部分問題。雖然首次轉帳現在幾乎是即時的，但完整的加密貨幣洗錢過程需要更長。2025 年下半年，駭客平均需要大約 10.6 天才能到達交易所或混合器等最終存款點，而今年早些時候大約需要 8 天。簡而言之，短跑速度更快，馬拉松速度更慢。

加密貨幣洗錢的兩階段時間線

第一階段（轉移）：2 秒內從受害地址轉出，搶在揭露前

第二階段（洗錢）：平均 10.6 天到達最終存款點，多層路由規避追蹤

趨勢變化：轉移加快（84.6% 揭露前完成）、洗錢放慢（從 8 天增至 10.6 天）

這種轉變反映了揭露後監管的加強。一旦事件公開，交易所和區塊鏈分析公司就會對地址進行標記，並加強審查。因此，攻擊者會將資金分成更小的部分，並透過多層路由進行轉移，然後再嘗試兌現。

橋接 20.1 億與 Tornado Cash 復活

（來源：Global Ledger）

橋樑已成為此過程的主要通道。近一半的被盜資金約 20.1 億美元都是透過跨鏈橋樑轉移的。這比透過混幣器或隱私協議轉移的金額高出三倍多。光是去年轟動市場的 CEX 被盜案中，94.91% 的被竊資金就透過橋接器流動。

跨鏈橋成為加密貨幣洗錢主流工具的原因在於其便利性和隱蔽性。當駭客將以太坊上的贓款透過橋接轉到 BNB Chain 或 Polygon 時，追蹤難度大增。不同鏈的地址格式不同、區塊鏈瀏覽器分離、以及執法機構需要跨鏈協調，這些因素都為駭客爭取了時間。此外，許多小型鏈的監管和分析工具不如以太坊完善，轉移到這些鏈後更容易「消失」。

20.1 億美元相當於 2025 年被盜總額 40.4 億的約 50%。這種高度集中於單一洗錢管道的現象，既是執法的機會也是挑戰。機會在於，若能加強對跨鏈橋的監控（如要求橋接協議實施 KYC、凍結可疑交易），可能攔截一半的加密貨幣洗錢活動。挑戰在於，跨鏈橋通常是去中心化的，沒有中央實體可以強制執行這些措施。

與此同時，Tornado Cash 協議重新受到關注。該協定在 2025 年發生的駭客攻擊事件中出現率高達 41.57%。報告指出，受制裁政策變動的影響，其使用份額在下半年大幅成長。Tornado Cash 是以太坊上的混幣協議，它將多個用戶的資金混合，使得追蹤特定資金的來源變得極為困難。美國財政部在 2022 年將 Tornado Cash 列入制裁名單，但其智能合約仍在鏈上運行，無法被關閉。

41.57% 的出現率顯示，即使面臨制裁風險，駭客仍大量使用 Tornado Cash。這可能因為：制裁執行力度在川普政府時期減弱、駭客願意承擔制裁風險以換取隱私、或 Tornado Cash 的技術效果確實優於其他混幣工具。這種「制裁失效」的現象，凸顯了去中心化協議監管的根本困境。

一半贓款藏匿未動的詭異現象

同時，下半年直接提現到中心化交易所的資金大幅下降。DeFi 平台被盜資金的份額不斷上升。攻擊者似乎會避開顯而易見的提現管道，直到人們的注意力轉移為止。值得注意的是，分析顯示約有 49% 的被盜加密貨幣仍未被使用。這意味著數十億美元仍留在某些人的錢包裡，可能被用於未來的洗錢活動。

一半贓款未動是極為詭異的現象。這 49% 約相當於 19.8 億美元，被駭客控制但尚未嘗試變現或洗錢。可能的原因包括：駭客在等待案件熱度降低再行動、資金量過大無法在短時間內洗清、或駭客本身就是長期投資者將比特幣視為價值儲存無需急於變現。

這種「藏匿」策略對追回資金是雙刃劍。一方面，只要資金未動，理論上仍有追回可能，若執法機構能定位駭客並控制其私鑰。但另一方面，這些資金可能在數月甚至數年後突然啟動洗錢，屆時案件熱度已過，監控力度下降，成功洗清的機率更高。

問題的嚴重程度依然不容忽視。以太坊的損失高達 24.4 億美元，佔總損失的 60.64%。總共發生了 255 起竊盜事件，涉案金額達 40.4 億美元。然而，資金恢復情況仍然有限。只有約 9.52% 的資金被凍結，而最終返還的資金僅佔 6.52%。

這種極低的追回率（僅 6.52%）是加密犯罪最令人沮喪的現實。在傳統金融系統中，銀行搶劫或電匯詐騙的追回率通常達 30-50%，因為資金流經受監管的金融機構，可以凍結和追回。但在加密世界，一旦資金轉入駭客控制的錢包，除非駭客自願歸還或被執法機構抓獲，否則幾乎無法追回。這種「一旦被盜、永久損失」的特性，是加密資產最大的安全風險之一。

綜合來看，這些發現呈現出一個清晰的模式：攻擊者在入侵後的最初幾秒鐘內以機器速度進行攻擊。防守方反應遲緩，迫使犯罪者採取更為緩慢、精心策劃的洗錢策略。這場競賽並未結束，只是進入了一個新的階段——一開始以秒計算，而結束時則以天計算。