点击蓝字
关注我们
2025年8月,一个普通用户在BSC链上执行了一笔再平常不过的USDT转账,却在几分钟后惊恐地发现钱包余额被清空。没有钓鱼链接、没有下载恶意插件,只有一次看似正常的签名操作。
在接到求助后,我们的技术团队紧急介入。在深挖这起地址盗窃事件时发现,它并非偶然,而是蓄谋已久。背后是一个潜伏长达三年、跨链作案、精准布局的黑客团伙。
01 事件背景
一次授权,三年后钱包被掏空
被盗地址为0xC4...62aD
经过链析技术团队持续追踪与分析发现,黑客通过“无限额授权”漏洞,在2025年8月25日14:01:02,从该地址中转走1.6万USDT。
然而,进一步追查揭示了更深的秘密:这笔授权早在2022年6月15日就已签署。三年后,它被“重新唤醒”,成了黑客合法转移资产的通行证。
黑客不是临时起意,而是早已布好局。当链析数据分析师层层挖掘、深入剖析后“真相”逐渐浮出水面。
原来这个团伙早在2022至2023年间,就通过类似手法盗走约500万USDT,涉及1500名用户。
02 起底黑客
潜伏三年后开始“行动”
黑客的核心策略极其隐蔽:伪装成项目授权的普通交互界面。
当时,受害人正准备参与名为Hash Lottery(哈希彩票)的IDO私募,在点击“确认”时,后台同时嵌入了一笔“针对黑客地址的无限额授权”。
从外看,那是一笔正常的转账交易,无任何问题;从代码层面看,那是一枚埋在钱包里的定时炸弹。授权一旦签署,黑客地址便长期获得了控制权。
当用户的资金重新注入钱包、或合约余额更新时,黑客随时可以随意划走资产——不需要密码,也不需要提示,取决于黑客想要多少。
03 作案模式
从Hash跑路,到全链盗窃网络
链析技术团队及时进行链上追踪,发现黑客团伙的活动轨迹几乎覆盖BSC、TRON、HECO三条链。
其作案模式清晰且专业:
第一步:伪装诱导
在Hash Lottery项目官网中,嵌入恶意授权脚本,伪装为普通USDT转账界面。
第二步:资金混淆
黑客将通过兑换HASH代币所得的BNB资金,多层跨链转移,用以支付Gas费和隐藏踪迹。
第三步:集中分发
关键地址TZ9P...f5mN 充当“资金调度中心”,向下游61个地址精准分发手续费。
其中44个地址成功实施盗窃,累计被盗资金6.3万USDT,目前仍在链上未转出。
第四步:跨年复活
通过追踪“手续费来源地址”0x90…28f2,我们发现它在2023年与2025年均活跃,
1.近期活动 (2025年8月):
如下表所示,该地址在此期间执行了两笔BSC→TRX的跨链操作,专门为TZ9...5mN提供了作案所需的手续费。
2.历史活动 (2023年3月-7月):
该地址在这一时期也曾高度活跃,执行了多次BSC→HECO的跨链操作,为作案地址提供资金。
关联的一笔盗币活动
受害人的朋友有也遭遇了同类授权盗币攻击(0x7f...06d1),作案方式与此前作案路径完全一致。受害人的朋友于2022年6月15日授权了地址0x72...b4fb的无限额转账,此时受害人的朋友同样在向Hash平台地址进行USDT转账。
这两次盗币均是早期向HECO链批量分发资金,近期则通过SWFT桥转向TRON执行攻击。这意味着,该组织延续运营至少三年,并定期激活沉睡的授权目标。
04 链上分析
资金流向路径追踪
顺着2023年的线索持续追踪,链析技术人员发现该团伙2023年3月-2023年7月完整的作案与洗钱路径:
1.资金分发:上游钱包向作案地址进行跨链转账,提供攻击所需的手续费。
2.攻击与归集:随后,作案地址在盗取受害人资金后,通过跨链桥将赃款归集到波场(TRON)特定地址中,但有21万资金仍存留在BSC链上。
3.当前状态:截至目前,我们在波场链上共发现147万USDT仍滞留于29个地址中。这些资金均未被冻结,也未进一步流转:
值得注意的是,这些地址中的部分已被反洗钱平台“无匿”标记为涉毒洗钱通道,显示赃款极可能已流入灰色资金网络。这也解释了为何该团伙敢于长期潜伏、周期性作案——他们拥有完整的洗钱闭环,从授权埋伏到跨链清洗,几乎不留任何传统意义上的缺口。
05 溯源真相
哈希彩票与黑客同源
一切的线索,最终指向同一个名字:Hash Lottery(哈希彩票)。该项目于2022年5月预热、6月上线,号称“链上博彩革命”,用户需先兑换HASH代币参与游戏。然而仅运营三周,项目方便砸盘跑路。
链上证据显示:
黑客用于发动攻击的初始资金,来自HASH代币合约创建者地址;
受害人遭遇盗币的场景,均发生在与Hash平台交互时;
项目方在跑路后仍控制多笔跨链地址,用于后续攻击资金调度。
结论很明确,Hash项目方与黑客团伙存在直接关联。所谓“博彩平台”,其实是一次精心伪装的长线盗币工程。
06 案件进展
锁定核心嫌疑人,已与警方合作
从粉丝向我们求助,到链析技术团队及时介入追踪,再到与警方联合推进侦办,案件已取得关键进展:
1. 追踪到其幕后是长期布局、手法专业的黑客组织
通过对44个核心控制地址的历史交易分析,我们发现该团伙并非首次作案:地址0x90...28f2自2022年起就在进行盗窃作案。
此外,该团伙分工也非常明确,有专门的盗币团队负责作案、跨链转移、资金清洗等。
2. 配合浙江警方推进侦办,全流程提供支持
☞ 经过链析技术团队的深度分析研判,发现全国各地约有1500名用户受害,其中以江苏、浙江、安徽等地区的参与者居多。
☞ 目前,链析配合浙江警方对8个核心地址发起调证协查;对全案已经做了数据勘验和保全,以及数据保存。
☞ 同时,完成全案的链上数据勘验、证据保全与数据固定保存,确保涉案资金流向、团伙操作痕迹等关键证据完整可追溯。
☞ 后续,链析还将持续全流程配合浙江警方,提供技术支持与数据补充,助力案件侦破,为被骗用户挽回损失提供保障。
写在最后:
Hash项目的消亡,看似结束了一场泡沫。但它留下的每一个授权、每一段代码,依旧潜伏在链上。它们像定时炸弹,等待被重新唤醒。
这场攻击提醒所有用户,必须时刻警惕每一次授权,等你放松警惕的那一刻,真正的风险已经来到。
链上溯源追踪与技术支持
👇👇👇
添加小助手微信号
如果您或者身边人不幸也遇到类似情况,也可向小助理提交线索,我们将免费提供初步的链上溯源支持,尽最大努力帮助大家避免或降低损失。
如果你担心钱包安全
可以关注我们公众号
进行免费的安全检测
监测潜在风险,防止资产被盗
我们提供以下专业服务:
钱包安全体检:检测你的钱包是否存在授权风险。
加密资产追踪:已经被盗,可提供链上分析报告,帮你追踪资产流向。
防骗法律咨询:遭遇诈骗,可联系我们获得专业建议。
【往期精彩回顾】▼▼: