朝鮮黑客，如何持續獵殺加密貨幣行業

最近半年多的加密貨幣行業，冷清的仿佛退潮后的海邊。

人還是有人，項目也還在，但以前那種隔三差五就有新項目出來講故事、到處都是融資消息、群里天天都有人喊著要上車的感覺，少了很多。

留下來的團隊，嘴上當然也會講愿景、講長期，但私下里聊得更多的，往往還是很樸素的事情：賬上還有多少錢，成本怎么再壓一壓，團隊怎么先穩住熬過熊市的冬天。

但熊市對項目方最狠的地方，有時候還不只是幣價跌了，也不只是融資難了，而是本不寬裕的家庭遇上雪上加霜，比如資產被盜。

牛市里被偷，是肉疼；熊市里被偷，是真的要命。

一、Drift 被盜 2.85 億美元

這次出事被盜的是 Drift，2026 年開年至今最大規模的 DeFi 攻擊之一，失竊金額約 2.85 億美元。

熟悉 Solana 生態的人，對這個名字大多不陌生。它本身是個去中心化交易平臺，主打永續合約交易，也覆蓋現貨、借貸和保險庫這些業務。官方資料把它稱為 Solana 上最大的開源永續合約去中心化交易平臺之一。

按公開披露的信息，攻擊發生于 2026 年 4 月 1 日，但前面可能鋪了整整六個月。2025 年秋天，一群自稱量化交易團隊的人，在大型行業會議上接觸了 Drift 的工作人員。后面拉群、開會、聊策略、聊業務接入，流程都很正常，更關鍵的是，對方不只說，還真往生態保險庫里放了超過 100 萬美元自有資金。誰成想，這竟然是放長線釣大魚。

如果只看 Drift，這件事最多算又一場頭部項目安全事故。但如果把它放回過去幾年行業里發生的那些大案里看，事情就不是這個味道了。

多個案件繞來繞去，最后還是會繞回朝鮮。

二、朝鮮黑客戰績

2025 年 2 月，FBI 公開表示 Bybit 大約 15 億美元的虛擬資產失竊，由朝鮮實施，歸在其所謂的"TraderTraitor"行動之下。

2025 年底，Chainalysis 又給出年度數據，朝鮮相關黑客在 2025 年至少盜取了 20.2 億美元加密資產，同比增長 51%，歷史累計下限達到 67.5 億美元，而且呈現出一個很明顯的特點：朝鮮的獵殺次數變少了，但單筆越來越大。

朝鮮不是最近因為 Bybit 或 Drift 才突然冒出來的名字，它這些年一直都在，而且在加密行業里的存在感，并不是越來越弱，而是越來越重。

再往前看，朝鮮的盜幣戰績也是屢見不鮮。

路透在 2024 年援引聯合國制裁專家材料稱，聯合國方面調查了 2017 年到 2024 年間 97 起涉嫌由朝鮮發起、針對加密貨幣公司的網絡攻擊，涉及金額約 36 億美元。

韓國警方在 2024 年 11 月也公開表示，2019 年一筆約 4200 萬美元的以太坊盜竊案，背后與朝鮮軍方情報系統關聯的黑客組織有關。

Drift 這次還有一個細節，在相關安全團隊支持下，現階段對這次行動與 2024 年 10 月 Radiant Capital 攻擊背后都指向了朝鮮。

放在一起看，這就不是幾個互不相干的案子，而是同一類人，在不同項目、不同時期、不同場景里，反復使用一套已經打磨得相當成熟的打法。

三、朝鮮黑客的收割體系

說到這里，文章真正想和大家聊的，不是"朝鮮最近又偷了多少錢"，而是另一件更值得行業從業者注意的事：過去幾年，大家聊加密行業，注意力都放在香港、美國、迪拜，放在牌照、ETF、穩定幣、公鏈、支付、RWA、托管這些明面上的敘事上。

可另一條更硬的現實線索是，最持續、最系統、最有組織地從這個行業里拿走真金白銀的，恰恰是朝鮮。

很多人一提朝鮮在加密行業里的存在，第一反應還是那幾個老印象：黑客組織、盜幣、洗錢。這些詞當然沒錯，但現在看，可能還是低估了它。

因為它做的事情，早就不只是"黑幾個項目"這么簡單。更準確一點說，它已經越來越像圍繞加密行業，跑出了一套完整的收割體系。

第一層：大額盜幣

攻擊交易所、跨鏈橋、錢包、協議，把資產直接拿走。Bybit 是最醒目的例子，15 億美元這個量級，已經不是普通意義上的行業事故了。

Chainalysis 2025 年的報告還提到，朝鮮相關攻擊在當年占到所有服務型平臺被盜事件的 76%，而前幾大案件占去了絕大部分損失。這說明它不是廣撒網的小偷，而是越來越會集中資源、挑選目標、捕大魚。

第二層：偽裝滲透

接近項目方，經營關系，偽裝成行業內部看起來很正常的角色。Drift 這次就很典型。對方不是突然冒出來的陌生賬號，而是在活動上見過、在群里聊過、在業務上對過很多細節的人。

路透的報道也提到，朝鮮黑客越來越多地通過偽造工作機會滲透加密行業。假招聘方、假公司網站、假技術測試、假面試流程，這些東西可怕的地方，不在于花樣多新，而在于它們都貼著行業真實的工作流長出來。

第三層：遠程臥底

美國司法部在 2025 年 6 月公布的案件顯示，朝鮮相關遠程信息技術人員利用盜用或偽造身份，在 100 多家美國公司找到遠程工作；整條鏈路背后，還有假網站、前臺公司、電腦中轉點、洗錢賬戶等配套結構。

FBI 公布的通緝信息還顯示，其中有人利用遠程崗位的權限，從兩家公司盜走了價值超過 90 萬美元的虛擬貨幣。到了這個層面，風險已經不是"外部攻擊"了，而是"人已經進了屋子"。只要人能進來，招聘、設備、代碼倉庫權限、財務流程、終端管理，這些原來看起來很瑣碎的事，都會變成里應外合的安全攻擊和資產掠奪。

第四層：洗錢變現

最后一層，是后端的洗錢和資金處理能力。路透 2024 年援引聯合國制裁專家材料稱，朝鮮在 2024 年 3 月通過混幣工具處理了 1.475 億美元此前從相關案件中盜得的資產；同一報道還提到，聯合國方面認為這類網絡攻擊與獲取資金、規避制裁、支持其武器項目有關。

朝鮮不是"偷完就結束"，它后面還有一整套拆分、跳轉、清洗、再變現的能力。

四、為什么是加密行業

很多正經項目方牛熊一輪就沒了，團隊散了，產品停了，幣價歸零。朝鮮不是。它沒有發布會，沒有路線圖，也沒有品牌敘事，但它每年都在穩定地從這個行業里拿錢，而且方法越來越成熟。

朝鮮會長期盯著加密行業，不是因為它對這些新概念有多大興趣，而是因為這個行業對它來說確實好用。

第一，是資金更容易盜用。 傳統金融體系里很多錢，它碰不到，或者碰起來成本太高。銀行、清算、跨境監管、制裁名單，每一層都是門檻。可在鏈上世界，只要前端能找到入口，后面的拆分、跨鏈、再分發空間就大得多。一旦被盜資產進入鏈上體系，后面的處理空間和難度，就和傳統金融不是一回事。

第二，是組織更容易滲透。 加密行業天然全球化、遠程化、輕組織。大家靠社交軟件、視頻會議、代碼平臺、文檔工具、測試分發工具，把合作、開發、融資、運營、接入、做市全跑起來。平時看，這是效率；換個角度看，這就是攻擊面。

五、加密從業者的應對指南

對很多加密項目方來說，這不是國際政治的遠消息，而是這個行業今天最現實的經營風險之一。這不是一個抽象的安全提醒，而是一個很現實的經營問題。

1. 員工招聘和遠程管理

美國司法部和 FBI 已經把風險講得很具體了：朝鮮相關信息技術人員會用盜用或偽造身份，在美國公司找遠程崗位，并通過美國境內的電腦中轉點接收公司寄出的設備，再以遠程方式接入公司網絡。對加密行業創業團隊來說，凡是接觸代碼倉庫、生產環境、錢包、部署流程、財務后臺、身份認證數據的崗位，都不能再只看簡歷和交付結果。

至少要做三件事：

第一，身份核驗要交叉做，不能只看職業社交平臺、視頻面試和一張護照照片。

第二，敏感崗位必須使用可控設備，不能長期默許用純個人電腦處理核心業務。

第三，權限要默認最小化，尤其是試用期員工、外包人員、合同工，不要一上來就給太多入口，再想著后面慢慢收。

2. 合作伙伴身份核實

Drift 這次給行業最大的提醒之一，就是線下見過面、線上聊得順、問題問得專業、甚至真的投了錢，這些都不能再自動默認為可信。

更務實一點的做法是：核驗不能只停留在名片、官網和社交媒體，要去看公司注冊信息、歷史項目痕跡、真實團隊成員、共同熟人反饋，必要時要求對方提供可驗證的機構材料。接觸越久，合作越深，該做的風控可一點都別少。

3. 安全審計要升級

很多團隊現在一提安全審計，想到的還是智能合約審計、錢包管理、多簽配置、鏈上監控。這些當然都要做，但已經不夠了。

今天更該關注的是"人的工作流"。誰可以下載外部代碼倉庫，誰接觸過多簽相關設備，誰能進入生產環境，誰能觸發財務審批，誰的終端碰過核心權限。這些問題，很多團隊平時并沒有系統盤過。

比較務實的做法是，每季度至少做一次權限和終端審計：先盤點誰能碰多簽、誰能看核心代碼倉庫、誰能進生產環境、誰有財務審批權限，再把相關設備做隔離和風險檢查。 Drift 自己在更新里也提醒：檢查團隊，審計誰有權限訪問什么，并把每一臺接觸過多簽的設備都視為潛在目標。

4. 安全預算是經營成本

很多小團隊最容易省的，就是審計、風控、流程設計、終端管理這些錢，覺得貴，覺得慢，覺得影響業務推進。可朝鮮相關攻擊這幾年的特點，恰恰是愿意花很長時間和不低成本來換一次高回報。這對于掌控大量客戶資產的加密行業從業者，應該是一次高聲亮的提醒。

加密貨幣行業發展到今天，大家總喜歡問一個問題：它到底改變了什么。

有人會說，它改變了支付；有人會說，它改變了資產發行；有人會說，它改變了全球資本流動的方式。

可如果把朝鮮這條線也放進來看，你會發現，它至少已經改變了一件事：它讓一個原本在傳統金融體系里處處受限的國家，第一次找到了一套可以長期運轉、跨境流動、持續拿錢的工具。

只是，它用了一種最直接，也最不體面的方式。

本文作者