一群黑客养活一个国家！9个月狂偷16.5亿美元，竟全用来造核弹

1. 一支神秘的网络部队，竟能支撑起一个国家的军事野心？

2. 来自朝鲜的一支高度组织化的黑客军团，在2025年前九个月中，竟从全球金融系统中窃取了高达16.5亿美元的资金。

3. 更令人震惊的是，这些非法所得的巨额资金，绝大部分被用于核武器与远程导弹的研发项目。

本文陈述内容皆有可靠信息来源，赘述在文章结尾

4. 十四亿美金的数字劫案

5. 2025年2月21日深夜，位于迪拜的Bybit加密货币交易所遭遇了一场精密策划的网络攻击。

6. 黑客并未采用暴力入侵的方式，而是悄然篡改了交易授权页面的底层代码。

7. 当负责审批的大户执行转账确认时，所见流程完全正常，毫无异常提示。

8. 然而，连接冷钱包的智能合约地址早已被秘密替换，资产的实际去向已被重定向。

9. 在短短数小时内，价值接近14亿美元的以太坊资产如烟雾般蒸发，流入未知钱包。

10. 此次盗窃事件发生后，区块链追踪专家迅速介入调查，逐步拼凑出资金流动图谱。

11. 分析师发现，接收赃款的多个链上地址，其活动模式与平壤的地理位置和作息规律高度吻合。

12. 尤为关键的是，这些钱包的操作时间点极为特殊。

13. 多数交易发生在朝鲜本地时间的周末或国家级纪念日——这些本应是休息时段，却成了黑客行动的高峰期。

14. 这种非正常的操作节奏，强烈暗示背后存在国家层面的统筹安排。

15. 赃款处理方式同样暴露出明显的体制化特征。

16. 所有被盗资金几乎在第一时间就被导入由朝鲜控制的“混币服务”平台。

17. 该工具能将大额加密资产拆解为海量小额交易，并与其他合法资金混合流转，极大增加溯源难度。

18. 明眼人不难看出，这绝非个体黑客的随机作案，而是一套成熟、标准化、具备长期运作能力的国家级犯罪机制。

19. 三个月后，即2025年5月，朝鲜成功试射一枚新型洲际弹道导弹。

20. 韩国情报部门随后对此次发射的技术参数与研发成本进行评估，结果令人瞠目结舌。

21. 整个项目的支出估算恰好接近14亿美元，与Bybit被盗金额惊人一致。

22. 这一巧合强烈表明，通过网络攻击获取的资金极有可能直接注入了朝鲜的战略武器计划。

23. 数据显示，这笔14亿美元的赃款意义重大。

24. 它占到了朝鲜2025年前九个月网络犯罪总收入的85%，甚至超过了2024年全年13.4亿美元的总和。

25. 而在整个2025年的前三个季度，朝鲜通过各类网络攻击手段累计窃取的资金已达16.5亿美元。

26. 这些资金并未用于民生建设，绝大多数流向了核武器与导弹系统的研制环节。

27. 朝鲜打造双轨制“地下印钞机”

28. 朝鲜之所以能够持续不断地从全球攫取巨额资金，依靠的并非松散的民间黑客群体，而是一整套线上线下协同运作的精密体系。

29. 这套系统宛如一台永不停歇的“虚拟印钞工厂”，长期为核导项目输送财政血液。

30. 在线上部分，核心力量是一支隶属于军方的专业化网络作战部队。

31. 该部队直接受命于最高决策层，归属人民军总参谋部第121局，也就是国际社会熟知的“网络战司令部”。

32. 其下辖多个臭名昭著的攻击团队，包括拉撒路集团（Lazarus Group）与清风组等，成员享受正规军人待遇并接受严格训练。

33. 自中学阶段起，朝鲜相关部门便在全国范围内选拔具备突出数学天赋和计算机技能的青少年。

34. 被选中的学生会被送入特定军事院校，接受高强度、定向化的技术培训。

35. 技术达标后，他们被派遣至马来西亚、俄罗斯等国的外交机构附属单位工作。

36. 白天以普通IT职员身份出现，夜晚则向国内汇报任务进度。

37. 完成指标者不仅能获得高额奖金，还可优先获得香奈儿手袋、奔驰轿车等稀缺奢侈品作为奖励。

38. 经过系统化培养的黑客在执行任务时遵循固定战术流程。

39. 第一步是渗透阶段，通常伪装成知名区块链企业发送带有恶意程序的招聘邮件。

40. 或是在Discord、Telegram等社交平台上散布钓鱼链接，诱导目标点击下载木马程序。

41. 第二步进入攻击阶段，专门针对智能合约漏洞与跨链桥安全缺陷发起精准打击。

42. 2022年，他们正是利用此类手法，从一家越南区块链游戏公司盗走近6亿美元资产。

43. 最后一步是洗钱阶段，赃款首先经由朝鲜掌控的混币器打散成无数微小交易。

44. 随后通过多层跳转钱包转移至场外交易平台，最终兑换为法币并回流国内，整个链条极难追踪。

45. 仅靠线上攻击尚不足以维持长期收益，为此朝鲜还开辟了线下的“第二战场”——向海外大规模输出IT劳动力。

46. 据多方监测报告披露，朝鲜已向俄罗斯、老挝、柬埔寨等八个国家部署了大量技术人员。

47. 近年来，其人员足迹进一步延伸至赤道几内亚、尼日利亚等非洲地区。

48. 值得注意的是，这台“印钞机”的高效运转，离不开俄罗斯的默许与支持。

49. 朝鲜向俄方提供火炮弹药及前线作战人员，作为交换，俄罗斯为其黑客活动提供网络掩护与庇护空间。

50. 这笔来之不易的资金有效缓解了朝鲜发展核武的资金瓶颈，据称当前储备足以制造超过二十枚核弹头。

51. 更加危险的趋势正在浮现：朝鲜黑客不仅追求经济利益，也开始大规模窃取敏感情报。

52. 从韩国国防部到巴西核电运营公司，均成为其攻击目标。

53. 有迹象显示，他们甚至试图侵入韩国电力调度系统，意图实施大规模断电攻击。

54. 这种“网络攻击+核威慑”的复合战略，正对区域乃至全球安全构成日益严峻的挑战。

55. 国际社会面临治理困境

56. 面对朝鲜依托网络手段助推核导发展的现实威胁，国际社会并非无动于衷，而是深陷多重制约，难以形成有效反制。

57. 首要障碍在于各国立场分歧严重。

58. 美国、日本、韩国主张全面封锁朝鲜IT人员流动渠道，并加强对加密货币交易的审查力度。

59. 但中国与俄罗斯持保留态度，强调应尊重国家主权，反对未经联合国安理会授权的单边制裁措施。

60. 双方在IT从业者身份核实、虚拟资产监管边界等关键议题上始终未能达成共识。

61. 缺乏统一行动框架，导致全球协作机制形同虚设。

62. 除政治协调难题外，技术层面也存在巨大盲区。

63. 区块链本身具备高度匿名性，交易双方身份信息被加密隐藏，极大提升了资金追踪难度。

64. 朝鲜黑客熟练运用混币器、跳板钱包、代理节点等多种隐蔽工具，进一步模糊资金路径。

65. 加上他们刻意选择在平壤时间的非工作时段发动攻击，巧妙避开常规监控窗口。

66. 即便事后察觉异常，追查原始源头也如同在浩瀚海洋中寻找一根针。

67. 更重要的是，区块链交易具有不可逆特性，一旦完成便无法撤销。

68. 即使确认被盗，受害者也几乎无法挽回损失。

69. 动用军事手段打击黑客据点显然不切实际，物理干预在此类案件中缺乏可行性。

70. 除了技术和战略限制，执行成本同样高昂。

71. 朝鲜外派IT人员伪装极其严密，常持有第三国护照，以合法身份在当地企业任职。

72. 其承接项目多经多重外包中介，真实雇主与工作地点极难查证。

73. 即便锁定目标，资金往往已通过地下钱庄层层转移，冻结难度极大。

74. 欧盟于2025年8月出台新规，要求交易所筛查来自朝鲜IP的可疑活动，但截至目前仅冻结约5000万美元资产。

75. 相较于16.5亿美元的整体赃款规模，这一成果不过是沧海一粟。

76. 尽管挑战重重，破局之路依然存在，关键在于斩断“网络敛财—核武升级”的恶性循环链条。

77. 短期内必须强化跨国IT从业人员的身份核验机制。

78. 同时推动全球主流加密货币交易所将朝鲜关联地址列入黑名单，限制其资金进出通道。

79. 从长远来看，亟需各国坐下来开展实质性对话，共同投资研发新一代链上追踪技术。

80. 不仅要堵住资金偷盗的入口，更要建立阻断流向核项目的防火墙，才能真正遏制危机蔓延。

81. 结语

82. 朝鲜构建“网络印钞机”，是在长期外部封锁下演化出的一种极端生存策略。

83. 然而，这种依靠非法活动滋养的核武野心，最终危及的是全人类的安全底线。

84. 如何在不激化对抗的前提下，精准封堵漏洞、化解风险，是摆在国际社会面前的一项紧迫课题。

85. 参考文献：1.财联社：《加密行业又出大劫案：全球第二大加密交易所被盗近15亿美元代币》2025-02-24

86. 澎湃新闻：《朝鲜“最具威力”核武器亮相，一图看懂朝鲜洲际导弹的发展》2025-10-11

87.

88.