朝鮮黑客單月狂掠 5 億美元，已成加密安全頭號威脅

撰文：Oluwapelumi Adejumo

編譯：Chopper，Foresight News

短短不到三週內，與朝鮮相關的黑客組織從加密貨幣 DeFi 平台竊取資金超過 5 億美元，黑客的攻擊突破口從核心智能合約轉向基礎設施邊緣漏洞。

Drift 與 KelpDAO 遇襲

針對 Drift Protocol 與 KelpDAO 的兩起重大攻擊，已讓朝鮮黑客今年非法加密貨幣所得突破 7 億美元。巨額損失凸顯了他們的戰術轉向：正愈發頻繁地利用複雜漏洞、深度潛伏人員滲透，繞過標準安全防線。

4 月 20 日，跨鏈基礎設施提供商 LayerZero 確認：KelpDAO 於 4 月 18 日遭遇攻擊，損失約 2.9 億美元，成為 2026 年迄今最大單筆加密盜竊案。該公司表示，初步取證直接指向 TraderTraitor—— 朝鮮臭名昭著的 Lazarus Group 內部的一個專門小組。

僅數週前的 4 月 1 日，基於 Solana 的去中心化永續合約交易所 Drift Protocol 被盜約 2.86 億美元。區塊鏈情報公司 Elliptic 迅速將鏈上洗錢手法、交易序列、網絡簽名，與朝鮮已知攻擊路徑關聯，並指出這已是其今年追蹤到的第 18 起同類事件。

攻擊轉向：滲透基礎設施邊緣

4 月攻擊的手法，顯示朝鮮黑客針對 DeFi 的攻擊日趨成熟。他們不再正面強攻核心智能合約，轉而尋找並攻擊結構性邊緣漏洞。

以 KelpDAO 攻擊為例：黑客攻陷了 LayerZero Labs 去中心化驗證網絡（DVN）所使用的下游 RPC（遠程調用）基礎設施。通過篡改這些關鍵數據通道，攻擊者在未破壞核心密碼學的情況下，操控了協議運行。LayerZero 已停用受影響節點、全面恢復 DVN，但財務損失已無法挽回。

這種間接攻擊方式，揭示了網絡戰的令人恐懼的演進。區塊鏈安全公司 Cyvers 向 CryptoSlate 表示：朝鮮相關攻擊者愈發老練，在攻擊籌備與執行上投入更多資源。

該公司補充道：「我們還觀察到，他們總能精準找到最薄弱環節。這次，突破口是第三方元件，而非協議核心基礎設施。」

該策略與傳統企業網絡間諜活動高度相似，也意味著朝鮮相關攻擊正變得越來越難防範。近期事件，如谷歌研究員將廣泛使用的 Axios npm 軟體包供應鏈入侵，關聯至朝鮮特定威脅組織 UNC1069，這表明：攻擊者正系統性地在軟體進入區塊鏈生態前就對其進行破壞。

朝鮮滲透全球加密行業從業者

除了技術上的突破，朝鮮目前還在對全球加密貨幣勞動力市場進行大規模、有組織的滲透。

威脅模式已從遠程黑客行動徹底轉向：將惡意人員直接安插進毫無戒心的 Web3 初創公司。

以太坊基金會 ETH Rangers 安全專案旗下 Ketman Project 經歷 6 個月調查，得出驚人結論：約 100 名朝鮮網路特工正潛伏在多家區塊鏈公司內部。他們使用偽造身份、輕鬆通過標準 HR 篩查、獲取敏感內部程式碼庫權限，在產品團隊靜默潛伏數月甚至數年，再發起精準攻擊。

獨立區塊鏈調查員 ZachXBT 進一步證實了這種情報機構式的潛伏。他近期曝光一個朝鮮特種網路，透過欺詐身份遠程就業，月均獲利約 100 萬美元。

這種方案透過受認可的全球金融渠道進行加密貨幣到法定貨幣的轉帳，自 2025 年底以來已處理超過 350 萬美元。

據業內人士估計，朝鮮整體部署 IT 人員月均產生數百萬美元收入。這為朝鮮帶來雙重收入流：穩定的薪資收入 + 內部人員協助的巨額協議盜竊。

67.5 億總盜竊額

朝鮮數位資產業務規模，遠超任何傳統網路犯罪集團。據區塊鏈分析公司 Chainalysis：僅 2025 年，朝鮮相關黑客竊取了創紀錄的 20 億美元，占當年全球加密貨幣竊案總額的 60%。

考慮到今年猛烈的攻擊行動，朝鮮有史以來竊取的加密資產總額已達 67.5 億美元。

資金得手後，Lazarus Group 展現出高度特定、區域化的洗錢模式：與普通加密罪犯頻繁使用 DEX、點對點借貸協議不同，朝鮮黑客刻意避開這些渠道。鏈上數據顯示，他們高度依賴中文地區的擔保交易服務、深度場外經紀網絡、複雜跨鏈混幣服務。這種偏好指向結構性限制、地理受限的變現渠道，而非無限制接入全球金融體系。

能否防範？

安全研究員與行業高管認為，可以防範，但加密企業必須解決多次重大攻擊中暴露的相同運營弱點。

Humanity 創始人 Terence Kwok 向 CryptoSlate 表示，朝鮮相關攻擊仍指向常見漏洞，而非全新網路入侵形式。他認為，朝鮮攻擊者正提升入侵手段與贓款轉移能力，但根源仍是糟糕的存取控制與集中化運營風險。

他解釋道：「令人震驚的是，損失仍歸咎於存取控制與單點故障等老問題。這說明行業仍未解決基礎安全紀律問題。」

據此，Kwok 指出行業第一道防線是大幅提高資產轉移的破解難度，對私鑰、內部權限和第三方存取權限實施更嚴格的控制。實踐中，企業需減少對個人操作員依賴、限制特權存取、加固供應商依賴、在核心協議與外部世界之間的基礎設施增設更多校驗。

第二道防線是速度。被盜資金一旦跨鏈、跨橋或進入洗錢網絡，追贓概率急劇下降。Kwok 表示：交易所、穩定幣發行方、區塊鏈分析公司與執法機構，必須在攻擊後最初幾分鐘、幾小時內极速協同，才能提升資金攔截成功率。

他的话點出行業現實：加密系統最脆弱之處，往往在程式碼、人员、運營的交匯點。一個被盜憑證、一個薄弱供應商依賴、一個被忽視的權限漏洞，就足以導致數億美元的損失。

DeFi 的挑戰，已不再只是編寫健壯的智能合約，而是在攻擊者利用下一個薄弱環節前，守住協議邊界的運營安全。