资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
朝鲜关联黑客组织构建工业化窃取体系虚拟资产成其核心财源
近期研究指出,朝鲜关联黑客组织已在虚拟资产生态中建立起“工业化的窃取结构”,持续扩大其国家级核心收入来源。据相关报告分析,自2016年至2026年初,朝鲜关联组织已通过263起确认事件窃取约67.5亿美元资产。值得注意的是,2025年全年656起安全事件中,朝鲜关联攻击仅79起,但造成的损失高达20.6亿美元,约占整体损失的60%。这意味着相比攻击次数,其“精准目标选择”与“高价值资产集中打击”策略更具威胁性。
报告指出,朝鲜的虚拟资产攻击已从单纯犯罪演变为规避制裁、获取大规模杀伤性武器研发资金的战略性网络行动。在国际制裁导致外汇获取困难的背景下,朝鲜已将跨境流动便利的数字资产实质转化为新的外汇筹措窗口。研究援引联合国与美国情报部门评估称,被窃取的虚拟资产收益直接与朝鲜核武器及弹道导弹项目资金相挂钩。
攻击规模持续扩大
实际损失规模呈现上升趋势。自2026年1月至今,虚拟资产生态已发生185起安全事件,损失约11亿美元。其中约6.209亿美元被归类为朝鲜关联攻击,占总损失的55%。尽管大型事件数量有限,但单次入侵对市场造成的冲击已具有压倒性影响。
以人为核心的攻击策略
朝鲜黑客组织的特征在于优先针对“人”而非代码本身。报告将社会工程学列为最具主导性的攻击向量:通过伪造风险投资提案、虚假招聘面试、嵌入恶意代码的技术任务、伪装视频会议链接等手段,先获取开发者与员工的信任,再窃取系统访问权限。相比智能合约漏洞攻击,利用人类心理、工作流程及供应链弱点的案例更为普遍。
高度专业化的分工集群
朝鲜关联攻击集群已形成角色细分:包括冒充风投机构针对创业者与高资产人士的“SquidSquad”、瞄准大型交易所与技术企业技术人员的“TraderTraitor”、通过虚假面试与恶意代码库感染开发者的“Contagious Interview”、散布木马化交易应用的“AppleJeus”等。此外,凭借虚假身份渗透西方企业远程岗位的朝鲜IT人员进一步扩大了威胁范围。
庞大的组织体系
报告将“Lazarus”描述为涵盖平壤侦察总局下属多个网络攻击组织的统称,其公开资料显示总人员规模约达7000名。这些组织在长时间工作体系与严格操作纪律下活动,初期恶意代码设计简单且可消耗,仅对高价值目标投入高级攻击载荷,以此降低被检测风险。
攻击模式的演进
攻击模式随时间推移显著演变:早期主要为针对韩国政府机构与金融机构的DDoS及破坏型攻击,随后转向传统金融基础设施。2017年后集中攻击交易所热钱包,2020年代起将目标转向去中心化金融协议与跨链桥。近期更升级为结合第三方解决方案规避及线下接触的供应链攻击与物理渗透。这种演变显示,随着防御体系强化,攻击方亦投入更多时间、成本与精密伪装技术。
典型攻击案例
2022年的Ronin Bridge事件是代表性案例。当时支持Axie Infinity的Ronin Network遭遇伪装为领英招聘人员的攻击,一名工程师下载恶意PDF文件导致内部基础设施被侵入。攻击者获取9个验证者中的5个权限,提取17.36万枚ETH与2550万美元USDC,损失约6.24亿美元,为当时史上最大规模。
2025年2月发生的交易平台遭黑客入侵事件,极端暴露了供应链攻击风险。据分析,攻击者先入侵该平台使用的多签钱包开发者终端,窃取AWS会话令牌以绕过多重验证,随后操纵用户界面使其看似正常转账,签名者在未察觉异常的情况下批准恶意交易。最终导致超14亿美元资产外流,成为虚拟资产行业最大规模黑客事件。
2026年4月发生的去中心化交易协议事件成为又一转折点。该基于Solana的去中心化交易所遭非法提取约2.85亿美元。攻击者不仅窃取密钥,更通过人为制造低流动性代币市场抬高价格、构建虚假抵押基础,随后禁用协议提款保护机制,并结合预签名体系与治理权限转移,在数分钟内提取大规模流动性。尤为值得注意的是,与核心贡献者建立长期线下信任关系的并非朝鲜国籍者,而是第三方中介,这显示威胁已从技术领域向现实空间扩张。
高度复杂的洗钱体系
洗钱体系亦日趋精密。报告显示,某大型交易所攻击事件后一个月内,86.29%的被盗ETH被转换为BTC。此过程混合使用混币服务、跨链桥、去中心化交易所、场外经纪商及粉尘分散账户等多种手段,通过跨链拆分交易痕迹的方式,使得追踪与冻结难度日益增加。
近期更出现将公链本身用作命令控制基础设施的“EtherHiding”手法,通过将恶意载荷隐藏于智能合约交易数据内部并以只读调用提取。由于传统瘫痪中央服务器的应对方式失效,调查机构与安全行业均面临新挑战。
广泛的市场冲击
安全事件对市场影响深远。报告分析指出,某交易所黑客事件后,洗钱过程中产生的大规模抛压导致以太坊价格下跌约4.2%。这不仅造成直接受攻击的平台损失,更波及将资产存入相关去中心化金融协议的项目与投资者,形成连锁冲击。安全事件已超越单一企业损失,成为动摇市场信心、推高合规成本、影响流动性及价格稳定性的系统性变量。
国际协作与应对局限
国际协同应对持续强化,包括美日韩等多边制裁监控小组、扩大对朝鲜IT人员制裁、稳定币发行方加强冻结措施、打击东南亚地下金融经纪等行动并行推进。然而,部分去中心化服务拒绝配合资金冻结,地缘政治冲突亦制约调查协作,应对效果仍存局限。
多层级防御策略
报告提出多项防御策略:严格身份验证、零信任招聘政策、加强通信渠道安全培训、设置提款延迟与熔断机制、基于时间锁的治理方案、采用气隙硬件安全模块等。研究强调,仅强化智能合约审计并不足够,需构建涵盖人员招聘、运营流程、第三方基础设施及线下接触的多层次防御体系。
未来威胁持续演进
报告预测,2026年后朝鲜黑客组织将进一步扩大基于人工智能的社会工程攻击、加深对各行业的渗透、拓展新型跨链洗钱路径、滥用开发者工具进行攻击。最终,“朝鲜黑客”威胁已非孤立事件,而是虚拟资产行业需结构性应对的常态化风险。
研究警告指出,既然朝鲜已将虚拟资产窃取武器化为维持体制不可或缺的财源,安全事件已非“是否发生”的问题,而是“何时以何种方式爆发”的挑战。
