撰文:Oluwapelumi Adejumo
编译:Chopper,Foresight News
短短不到三周内,与朝鲜关联的黑客组织从加密货币 DeFi 平台窃取资金超 5 亿美元,黑客的攻击突破口从核心智能合约转向基础设施边缘漏洞。
Drift 与 KelpDAO 遇袭
针对 Drift Protocol 与 KelpDAO 的两起重大攻击,已让朝鲜黑客今年非法加密货币所得突破 7 亿美元。巨额损失凸显了他们的战术转向:正愈发频繁地利用复杂漏洞、深度潜伏人员渗透,绕过标准安全防线。
4 月 20 日,跨链基础设施提供商 LayerZero 确认:KelpDAO 于 4 月 18 日遭遇攻击,损失约 2.9 亿美元,成为 2026 年迄今最大单笔加密盗窃案。该公司表示,初步取证直接指向 TraderTraitor—— 朝鲜臭名昭著的 Lazarus Group 内部的一个专门小组。
仅数周前的 4 月 1 日,基于 Solana 的去中心化永续合约交易所 Drift Protocol 被盗约 2.86 亿美元。区块链情报公司 Elliptic 迅速将链上洗钱手法、交易序列、网络签名,与朝鲜已知攻击路径关联,并指出这已是其今年追踪到的第 18 起同类事件。
攻击转向:渗透基础设施外围
4 月攻击的手法,显示朝鲜黑客针对 DeFi 的攻击日趋成熟。他们不再正面强攻核心智能合约,转而寻找并攻击结构性边缘漏洞。
以 KelpDAO 攻击为例:黑客攻陷了 LayerZero Labs 去中心化验证网络(DVN)所使用的下游 RPC(远程调用)基础设施。通过篡改这些关键数据通道,攻击者在未破坏核心密码学的情况下,操控了协议运行。LayerZero 已停用受影响节点、全面恢复 DVN,但财务损失已无法挽回。
这种间接攻击方式,揭示了网络战的令人恐惧的演进。区块链安全公司 Cyvers 向 CryptoSlate 表示:朝鲜关联攻击者愈发老练,在攻击筹备与执行上投入更多资源。
该公司补充道:「我们还观察到,他们总能精准找到最薄弱环节。这次,突破口是第三方组件,而非协议核心基础设施。」
该策略与传统企业网络间谍活动高度相似,也意味着朝鲜相关攻击正变得越来越难防范。近期事件,如谷歌研究员将广泛使用的 Axios npm 软件包供应链入侵,关联至朝鲜特定威胁组织 UNC1069,这表明:攻击者正系统性地在软件进入区块链生态前就对其进行破坏。
朝鲜渗透全球加密行业从业者
除了技术上的突破,朝鲜目前还在对全球加密货币劳动力市场进行大规模、有组织的渗透。
威胁模式已从远程黑客行动彻底转向:将恶意人员直接安插进毫无戒心的 Web3 初创公司。
以太坊基金会 ETH Rangers 安全项目旗下 Ketman Project 历经 6 个月调查,得出惊人结论:约 100 名朝鲜网络特工正潜伏在多家区块链公司内部。他们使用伪造身份、轻松通过标准 HR 筛查、获取敏感内部代码库权限,在产品团队静默潜伏数月甚至数年,再发起精准攻击。
独立区块链调查员 ZachXBT 进一步证实了这种情报机构式的潜伏。他近期曝光一个朝鲜特种网络,通过欺诈身份远程就业,月均获利约 100 万美元。
这种方案通过受认可的全球金融渠道进行加密货币到法定货币的转账,自 2025 年底以来已处理超过 350 万美元。
据业内人士估计,朝鲜整体部署 IT 人员月均产生数百万美元收入。这为朝鲜带来了双重收入流:稳定的工资收入 + 内部人员协助的巨额协议盗窃。
67.5 亿总盗窃额
朝鲜数字资产业务规模,远超任何传统网络犯罪集团。据区块链分析公司 Chainalysis:仅 2025 年,朝鲜关联黑客盗窃了创纪录的 20 亿美元,占当年全球加密货币盗窃总额的 60%。
考虑到今年猛烈的攻击行动,朝鲜有史以来窃取的加密资产总额已达 67.5 亿美元。
资金得手后,Lazarus Group 展现出高度特定、区域化的洗钱模式:与普通加密罪犯频繁使用 DEX、点对点借贷协议不同,朝鲜黑客刻意避开这些渠道。链上数据显示,他们高度依赖中文地区的担保交易服务、深度场外经纪网络、复杂跨链混币服务。这种偏好指向结构性限制、地理受限的变现渠道,而非无限制接入全球金融体系。
能否防范?
安全研究员与行业高管认为,可以防范,但加密企业必须解决多次重大攻击中暴露的相同运营弱点。
Humanity 创始人 Terence Kwok 向 CryptoSlate 表示,朝鲜相关攻击仍指向常见漏洞,而非全新网络入侵形式。他认为,朝鲜攻击者正提升入侵手段与赃款转移能力,但根源仍是糟糕的访问控制与集中化运营风险。
他解释道:「令人震惊的是,损失仍归咎于访问控制与单点故障等老问题。这说明行业仍未解决基础安全纪律问题。」
据此,Kwok 指出行业第一道防线是大幅提高资产转移的破解难度,对私钥、内部权限和第三方访问权限实施更严格的控制。实践中,企业需减少对个人操作员依赖、限制特权访问、加固供应商依赖、在核心协议与外部世界之间的基础设施增设更多校验。
第二道防线是速度。被盗资金一旦跨链、跨桥或进入洗钱网络,追回概率急剧下降。Kwok 表示:交易所、稳定币发行方、区块链分析公司与执法机构,必须在攻击后最初几分钟、几小时内极速协同,才能提升资金拦截成功率。
他的话点出行业现实:加密系统最脆弱之处,往往在代码、人员、运营的交汇点。一个被盗凭证、一个薄弱供应商依赖、一个被忽视的权限漏洞,就足以导致数亿美元的损失。
DeFi 的挑战,已不再只是编写健壮的智能合约,而是在攻击者利用下一个薄弱环节前,守住协议外围的运营安全。
