朝鮮黑客，如何持續(xù)獵殺加密貨幣行業(yè)

最近半年多的加密貨幣行業(yè)，冷清的仿佛退潮后的海邊。

人還是有人，項目也還在，但以前那種隔三差五就有新項目出來講故事、到處都是融資消息、群里天天都有人喊著要上車的感覺，少了很多。

留下來的團(tuán)隊，嘴上當(dāng)然也會講愿景、講長期，但私下里聊得更多的，往往還是很樸素的事情：賬上還有多少錢，成本怎么再壓一壓，團(tuán)隊怎么先穩(wěn)住熬過熊市的冬天。

但熊市對項目方最狠的地方，有時候還不只是幣價跌了，也不只是融資難了，而是本不寬裕的家庭遇上雪上加霜，比如資產(chǎn)被盜。

牛市里被偷，是肉疼；熊市里被偷，是真的要命。

一、Drift 被盜 2.85 億美元

這次出事被盜的是 Drift，2026 年開年至今最大規(guī)模的 DeFi 攻擊之一，失竊金額約 2.85 億美元。

熟悉 Solana 生態(tài)的人，對這個名字大多不陌生。它本身是個去中心化交易平臺，主打永續(xù)合約交易，也覆蓋現(xiàn)貨、借貸和保險庫這些業(yè)務(wù)。官方資料把它稱為 Solana 上最大的開源永續(xù)合約去中心化交易平臺之一。

按公開披露的信息，攻擊發(fā)生于 2026 年 4 月 1 日，但前面可能鋪了整整六個月。2025 年秋天，一群自稱量化交易團(tuán)隊的人，在大型行業(yè)會議上接觸了 Drift 的工作人員。后面拉群、開會、聊策略、聊業(yè)務(wù)接入，流程都很正常，更關(guān)鍵的是，對方不只說，還真往生態(tài)保險庫里放了超過 100 萬美元自有資金。誰成想，這竟然是放長線釣大魚。

如果只看 Drift，這件事最多算又一場頭部項目安全事故。但如果把它放回過去幾年行業(yè)里發(fā)生的那些大案里看，事情就不是這個味道了。

多個案件繞來繞去，最后還是會繞回朝鮮。

二、朝鮮黑客戰(zhàn)績

2025 年 2 月，F(xiàn)BI 公開表示 Bybit 大約 15 億美元的虛擬資產(chǎn)失竊，由朝鮮實施，歸在其所謂的"TraderTraitor"行動之下。

2025 年底，Chainalysis 又給出年度數(shù)據(jù)，朝鮮相關(guān)黑客在 2025 年至少盜取了 20.2 億美元加密資產(chǎn)，同比增長 51%，歷史累計下限達(dá)到 67.5 億美元，而且呈現(xiàn)出一個很明顯的特點(diǎn)：朝鮮的獵殺次數(shù)變少了，但單筆越來越大。

朝鮮不是最近因為 Bybit 或 Drift 才突然冒出來的名字，它這些年一直都在，而且在加密行業(yè)里的存在感，并不是越來越弱，而是越來越重。

再往前看，朝鮮的盜幣戰(zhàn)績也是屢見不鮮。

路透在 2024 年援引聯(lián)合國制裁專家材料稱，聯(lián)合國方面調(diào)查了 2017 年到 2024 年間 97 起涉嫌由朝鮮發(fā)起、針對加密貨幣公司的網(wǎng)絡(luò)攻擊，涉及金額約 36 億美元。

韓國警方在 2024 年 11 月也公開表示，2019 年一筆約 4200 萬美元的以太坊盜竊案，背后與朝鮮軍方情報系統(tǒng)關(guān)聯(lián)的黑客組織有關(guān)。

Drift 這次還有一個細(xì)節(jié)，在相關(guān)安全團(tuán)隊支持下，現(xiàn)階段對這次行動與 2024 年 10 月 Radiant Capital 攻擊背后都指向了朝鮮。

放在一起看，這就不是幾個互不相干的案子，而是同一類人，在不同項目、不同時期、不同場景里，反復(fù)使用一套已經(jīng)打磨得相當(dāng)成熟的打法。

三、朝鮮黑客的收割體系

說到這里，文章真正想和大家聊的，不是"朝鮮最近又偷了多少錢"，而是另一件更值得行業(yè)從業(yè)者注意的事：過去幾年，大家聊加密行業(yè)，注意力都放在香港、美國、迪拜，放在牌照、ETF、穩(wěn)定幣、公鏈、支付、RWA、托管這些明面上的敘事上。

可另一條更硬的現(xiàn)實線索是，最持續(xù)、最系統(tǒng)、最有組織地從這個行業(yè)里拿走真金白銀的，恰恰是朝鮮。

很多人一提朝鮮在加密行業(yè)里的存在，第一反應(yīng)還是那幾個老印象：黑客組織、盜幣、洗錢。這些詞當(dāng)然沒錯，但現(xiàn)在看，可能還是低估了它。

因為它做的事情，早就不只是"黑幾個項目"這么簡單。更準(zhǔn)確一點(diǎn)說，它已經(jīng)越來越像圍繞加密行業(yè)，跑出了一套完整的收割體系。

第一層：大額盜幣

攻擊交易所、跨鏈橋、錢包、協(xié)議，把資產(chǎn)直接拿走。Bybit 是最醒目的例子，15 億美元這個量級，已經(jīng)不是普通意義上的行業(yè)事故了。

Chainalysis 2025 年的報告還提到，朝鮮相關(guān)攻擊在當(dāng)年占到所有服務(wù)型平臺被盜事件的 76%，而前幾大案件占去了絕大部分損失。這說明它不是廣撒網(wǎng)的小偷，而是越來越會集中資源、挑選目標(biāo)、捕大魚。

第二層：偽裝滲透

接近項目方，經(jīng)營關(guān)系，偽裝成行業(yè)內(nèi)部看起來很正常的角色。Drift 這次就很典型。對方不是突然冒出來的陌生賬號，而是在活動上見過、在群里聊過、在業(yè)務(wù)上對過很多細(xì)節(jié)的人。

路透的報道也提到，朝鮮黑客越來越多地通過偽造工作機(jī)會滲透加密行業(yè)。假招聘方、假公司網(wǎng)站、假技術(shù)測試、假面試流程，這些東西可怕的地方，不在于花樣多新，而在于它們都貼著行業(yè)真實的工作流長出來。

第三層：遠(yuǎn)程臥底

美國司法部在 2025 年 6 月公布的案件顯示，朝鮮相關(guān)遠(yuǎn)程信息技術(shù)人員利用盜用或偽造身份，在 100 多家美國公司找到遠(yuǎn)程工作；整條鏈路背后，還有假網(wǎng)站、前臺公司、電腦中轉(zhuǎn)點(diǎn)、洗錢賬戶等配套結(jié)構(gòu)。

FBI 公布的通緝信息還顯示，其中有人利用遠(yuǎn)程崗位的權(quán)限，從兩家公司盜走了價值超過 90 萬美元的虛擬貨幣。到了這個層面，風(fēng)險已經(jīng)不是"外部攻擊"了，而是"人已經(jīng)進(jìn)了屋子"。只要人能進(jìn)來，招聘、設(shè)備、代碼倉庫權(quán)限、財務(wù)流程、終端管理，這些原來看起來很瑣碎的事，都會變成里應(yīng)外合的安全攻擊和資產(chǎn)掠奪。

第四層：洗錢變現(xiàn)

最后一層，是后端的洗錢和資金處理能力。路透 2024 年援引聯(lián)合國制裁專家材料稱，朝鮮在 2024 年 3 月通過混幣工具處理了 1.475 億美元此前從相關(guān)案件中盜得的資產(chǎn)；同一報道還提到，聯(lián)合國方面認(rèn)為這類網(wǎng)絡(luò)攻擊與獲取資金、規(guī)避制裁、支持其武器項目有關(guān)。

朝鮮不是"偷完就結(jié)束"，它后面還有一整套拆分、跳轉(zhuǎn)、清洗、再變現(xiàn)的能力。

四、為什么是加密行業(yè)

很多正經(jīng)項目方牛熊一輪就沒了，團(tuán)隊散了，產(chǎn)品停了，幣價歸零。朝鮮不是。它沒有發(fā)布會，沒有路線圖，也沒有品牌敘事，但它每年都在穩(wěn)定地從這個行業(yè)里拿錢，而且方法越來越成熟。

朝鮮會長期盯著加密行業(yè)，不是因為它對這些新概念有多大興趣，而是因為這個行業(yè)對它來說確實好用。

第一，是資金更容易盜用。 傳統(tǒng)金融體系里很多錢，它碰不到，或者碰起來成本太高。銀行、清算、跨境監(jiān)管、制裁名單，每一層都是門檻。可在鏈上世界，只要前端能找到入口，后面的拆分、跨鏈、再分發(fā)空間就大得多。一旦被盜資產(chǎn)進(jìn)入鏈上體系，后面的處理空間和難度，就和傳統(tǒng)金融不是一回事。

第二，是組織更容易滲透。 加密行業(yè)天然全球化、遠(yuǎn)程化、輕組織。大家靠社交軟件、視頻會議、代碼平臺、文檔工具、測試分發(fā)工具，把合作、開發(fā)、融資、運(yùn)營、接入、做市全跑起來。平時看，這是效率；換個角度看，這就是攻擊面。

五、加密從業(yè)者的應(yīng)對指南

對很多加密項目方來說，這不是國際政治的遠(yuǎn)消息，而是這個行業(yè)今天最現(xiàn)實的經(jīng)營風(fēng)險之一。這不是一個抽象的安全提醒，而是一個很現(xiàn)實的經(jīng)營問題。

1. 員工招聘和遠(yuǎn)程管理

美國司法部和 FBI 已經(jīng)把風(fēng)險講得很具體了：朝鮮相關(guān)信息技術(shù)人員會用盜用或偽造身份，在美國公司找遠(yuǎn)程崗位，并通過美國境內(nèi)的電腦中轉(zhuǎn)點(diǎn)接收公司寄出的設(shè)備，再以遠(yuǎn)程方式接入公司網(wǎng)絡(luò)。對加密行業(yè)創(chuàng)業(yè)團(tuán)隊來說，凡是接觸代碼倉庫、生產(chǎn)環(huán)境、錢包、部署流程、財務(wù)后臺、身份認(rèn)證數(shù)據(jù)的崗位，都不能再只看簡歷和交付結(jié)果。

至少要做三件事：

第一，身份核驗要交叉做，不能只看職業(yè)社交平臺、視頻面試和一張護(hù)照照片。

第二，敏感崗位必須使用可控設(shè)備，不能長期默許用純個人電腦處理核心業(yè)務(wù)。

第三，權(quán)限要默認(rèn)最小化，尤其是試用期員工、外包人員、合同工，不要一上來就給太多入口，再想著后面慢慢收。

2. 合作伙伴身份核實

Drift 這次給行業(yè)最大的提醒之一，就是線下見過面、線上聊得順、問題問得專業(yè)、甚至真的投了錢，這些都不能再自動默認(rèn)為可信。

更務(wù)實一點(diǎn)的做法是：核驗不能只停留在名片、官網(wǎng)和社交媒體，要去看公司注冊信息、歷史項目痕跡、真實團(tuán)隊成員、共同熟人反饋，必要時要求對方提供可驗證的機(jī)構(gòu)材料。接觸越久，合作越深，該做的風(fēng)控可一點(diǎn)都別少。

3. 安全審計要升級

很多團(tuán)隊現(xiàn)在一提安全審計，想到的還是智能合約審計、錢包管理、多簽配置、鏈上監(jiān)控。這些當(dāng)然都要做，但已經(jīng)不夠了。

今天更該關(guān)注的是"人的工作流"。誰可以下載外部代碼倉庫，誰接觸過多簽相關(guān)設(shè)備，誰能進(jìn)入生產(chǎn)環(huán)境，誰能觸發(fā)財務(wù)審批，誰的終端碰過核心權(quán)限。這些問題，很多團(tuán)隊平時并沒有系統(tǒng)盤過。

比較務(wù)實的做法是，每季度至少做一次權(quán)限和終端審計：先盤點(diǎn)誰能碰多簽、誰能看核心代碼倉庫、誰能進(jìn)生產(chǎn)環(huán)境、誰有財務(wù)審批權(quán)限，再把相關(guān)設(shè)備做隔離和風(fēng)險檢查。 Drift 自己在更新里也提醒：檢查團(tuán)隊，審計誰有權(quán)限訪問什么，并把每一臺接觸過多簽的設(shè)備都視為潛在目標(biāo)。

4. 安全預(yù)算是經(jīng)營成本

很多小團(tuán)隊最容易省的，就是審計、風(fēng)控、流程設(shè)計、終端管理這些錢，覺得貴，覺得慢，覺得影響業(yè)務(wù)推進(jìn)。可朝鮮相關(guān)攻擊這幾年的特點(diǎn)，恰恰是愿意花很長時間和不低成本來換一次高回報。這對于掌控大量客戶資產(chǎn)的加密行業(yè)從業(yè)者，應(yīng)該是一次高聲亮的提醒。

加密貨幣行業(yè)發(fā)展到今天，大家總喜歡問一個問題：它到底改變了什么。

有人會說，它改變了支付；有人會說，它改變了資產(chǎn)發(fā)行；有人會說，它改變了全球資本流動的方式。

可如果把朝鮮這條線也放進(jìn)來看，你會發(fā)現(xiàn)，它至少已經(jīng)改變了一件事：它讓一個原本在傳統(tǒng)金融體系里處處受限的國家，第一次找到了一套可以長期運(yùn)轉(zhuǎn)、跨境流動、持續(xù)拿錢的工具。

只是，它用了一種最直接，也最不體面的方式。

本文作者