朝鲜相关黑客组织已逐渐从传统的代码漏洞利用，升级为高度组织化、具备深层供应链渗透与大规模资金洗白能力的国家级攻击体系。

撰文：Certik

5 月 12 日 Web3 安全公司 CertiK 发布《Skynet 朝鲜加密威胁报告》，系统追踪了过去十年间与朝鲜相关的黑客组织在加密行业中的演化趋势与资金流向。报告显示，自 2016 年至今，朝鲜黑客组织已累计掠夺高达 67.5 亿美元的数字资产；仅在 2025 年，其制造的盗窃案损失就高达 20.6 亿美元，占全球加密行业总损失的近 60%。

报告指出，朝鲜相关黑客组织已逐渐从传统的代码漏洞利用，升级为高度组织化、具备深层供应链渗透与大规模资金洗白能力的国家级攻击体系。

核心数据：系统化攻击与产业化洗钱

 朝鲜主导的盗窃金额与全球加密货币盗窃总额对比

报告数据显示，朝鲜黑客的攻击行动呈现出高度精准的「系统化」特征：攻击次数相对较少，但集中瞄准具备高流动性的高价值目标。

• 历史总损失：自 2016 年至今，与朝鲜相关的黑客组织累计发动 263 起攻击事件，造成的加密资产损失约达 67.5 亿美元。
• 2025 年断层式破坏力：2025 年，朝鲜相关攻击事件数量仅占全球总数的 12%，但窃取金额高达 20.6 亿美元，占全年加密行业总损失的近 60%。其中，Bybit 事件以 15 亿美元损失成为加密行业史上最大规模的单笔盗窃案。
• 2026 年威胁延续：截至 2026 年初，已确认归因于朝鲜黑客的加密资产损失约 6.209 亿美元，约占全球总损失的 55%。
• 洗钱效率惊人：在如 Bybit 等重大案件中，超 86% 的被盗资金（主要为以太坊）在短短一个月内便通过混币器、跨链桥、去中心化交易所（DEX）及场外交易（OTC）网络完成洗白与转移。

战术演进：从「破解代码」到「攻破人心」与基础设施

《Skynet 朝鲜加密威胁报告》深入剖析了近几年的重大安全事件，指出朝鲜黑客的攻击轨迹已经发生了根本性转变：他们不再单纯寻找智能合约的代码漏洞，而是将矛头对准了人性和供应链的薄弱环节。

报告梳理了代表其能力持续演进的三大案件：

• Ronin 跨链桥事件（2022 年，损失 6.25 亿美元）：展现了社会工程学的威力，黑客通过领英虚假招聘钓鱼，成功向内部工程师植入间谍软件。
• Bybit 交易所事件（2025 年，损失 15 亿美元）：标志着供应链攻击成为典型特征。攻击者并未直接攻击交易所本身，而是入侵了其使用的第三方多签平台（Safe 多签钱包）的开发者设备，篡改了受信任的用户界面。
• Drift 协议事件（2026 年，损失 2.85 亿美元）：暴露了全新的「物理渗透」（线下渗透）模式。攻击者雇佣第三方中间人，利用长达六个月的时间亲自参加加密行业会议，与协议核心贡献者建立线下人际关系并投入真实资金建立信任，最终通过预言机操纵与治理权接管实施了攻击。

朝鲜黑客战术的变化

潜伏威胁：IT 人员渗透与区块链 C2 设施

除了外部攻击，报告还揭露了朝鲜黑客深入加密生态内部的两大隐蔽手段：

• 真实的内部威胁（IT 工作者）：多年来，数千名朝鲜 IT 从业者利用伪造身份进入 DeFi 协议及西方科技公司远程任职。他们作为「可信内部员工」潜伏，暗中提供情报支持，甚至在部分案例（如 Munchables 平台事件）中直接参与盗取所任职组织的资金。
• 滥用区块链作为基础设施：2025 年 10 月，谷歌威胁情报组披露朝鲜黑客组织首次采用「以太隐藏技术（EtherHiding）」。他们将公共区块链作为去中心化命令与控制（C2）基础设施，把恶意攻击载荷储存在智能合约的交易数据中，使得基础设施几乎无法被执法机构强行关闭。

行业防御建议：构建针对国家级黑客的深度防御体系

面对日益升级的攻击模式，CertiK 美国政府事务负责人Stefan Muehlbauer警告称：「Drift 协议攻击表明朝鲜的攻击方式正在发生根本性变化。等到链上攻击真正发生时，前期渗透工作其实早已完成。单纯依赖技术安全框架已无法有效应对此类威胁。」CertiK 在报告中建议加密行业及相关金融机构重点落实以下防御措施：

• 实施零信任招聘模式：将所有远程自由职业者和新入职员工默认视为高风险人员，在建立长期可核实的物理信任关系前，严禁其接触核心生产代码、私钥及管理后台。强制采用带活体检测的视频面试，并使用专业背景验证服务筛查虚假身份。
• 强化社会工程学防御：定期开展针对虚假招聘、伪装风投、恶意代码库的员工安全培训。禁止在未核实身份的情况下，通过 Telegram、Discord 等即时通讯工具接收和执行代码文件、会议链接及投资文档。
• 加固供应链与基础设施安全：对第三方服务商（如多签钱包、云服务提供商）实施严格的安全审计，避免过度依赖单一供应商。高价值交易签名及金库资金管理的私钥必须存储在物理隔离的硬件安全模块（HSM）中，任何操作均需经过多人人工物理授权。
• 建立资金安全熔断机制：针对大额提款强制实施 24-72 小时冷静期，为安全团队预留拦截可疑交易的时间窗口。对所有协议管理和治理操作强制设置时间锁，禁止零时间锁的权限变更。

尽管企业可以通过上述机制建立起内部第一道防线，但在面对国家级黑客的系统性、持续性攻击，单一机构的防御能力往往存在明显局限。企业不仅需要落实内部基础防护措施，还应建立覆盖全生命周期的外部安全支撑体系。

从攻击前的风险预防来看，专业机构可提供智能合约代码审计、形式化验证与渗透测试等基础设施安全检测，提前发现并修复潜在漏洞；在项目运行中，则离不开 7×24 小时的应急响应、全天候的风险监测以及深入的链上反洗钱 /KYT（了解你的交易）资金追踪。此外，针对全球日益收紧的监管环境，专业的储备金证明（PoR）审计与牌照申请合规支持，更是切断非法洗钱链路的关键。构建从底层代码到链上资金追踪的立体防护网，已是整个数字资产行业行可持续发展的生存红线。

报告全文：https://indd.adobe.com/view/a0a77d99-44d6-4b7e-9e2c-765ad54d36f2