朝鲜黑客，如何持续猎杀加密货币行业

最近半年多的加密货币行业，冷清的仿佛退潮后的海边。

人还是有人，项目也还在，但以前那种隔三差五就有新项目出来讲故事、到处都是融资消息、群里天天都有人喊着要上车的感觉，少了很多。

留下来的团队，嘴上当然也会讲愿景、讲长期，但私下里聊得更多的，往往还是很朴素的事情：账上还有多少钱，成本怎么再压一压，团队怎么先稳住熬过熊市的冬天。

但熊市对项目方最狠的地方，有时候还不只是币价跌了，也不只是融资难了，而是本不宽裕的家庭遇上雪上加霜，比如资产被盗。

牛市里被偷，是肉疼；熊市里被偷，是真的要命。

一、Drift 被盗 2.85 亿美元

这次出事被盗的是 Drift，2026 年开年至今最大规模的 DeFi 攻击之一，失窃金额约 2.85 亿美元。

熟悉 Solana 生态的人，对这个名字大多不陌生。它本身是个去中心化交易平台，主打永续合约交易，也覆盖现货、借贷和保险库这些业务。官方资料把它称为 Solana 上最大的开源永续合约去中心化交易平台之一。

按公开披露的信息，攻击发生于 2026 年 4 月 1 日，但前面可能铺了整整六个月。2025 年秋天，一群自称量化交易团队的人，在大型行业会议上接触了 Drift 的工作人员。后面拉群、开会、聊策略、聊业务接入，流程都很正常，更关键的是，对方不只说，还真往生态保险库里放了超过 100 万美元自有资金。谁成想，这竟然是放长线钓大鱼。

如果只看 Drift，这件事最多算又一场头部项目安全事故。但如果把它放回过去几年行业里发生的那些大案里看，事情就不是这个味道了。

多个案件绕来绕去，最后还是会绕回朝鲜。

二、朝鲜黑客战绩

2025 年 2 月，FBI 公开表示 Bybit 大约 15 亿美元的虚拟资产失窃，由朝鲜实施，归在其所谓的"TraderTraitor"行动之下。

2025 年底，Chainalysis 又给出年度数据，朝鲜相关黑客在 2025 年至少盗取了 20.2 亿美元加密资产，同比增长 51%，历史累计下限达到 67.5 亿美元，而且呈现出一个很明显的特点：朝鲜的猎杀次数变少了，但单笔越来越大。

朝鲜不是最近因为 Bybit 或 Drift 才突然冒出来的名字，它这些年一直都在，而且在加密行业里的存在感，并不是越来越弱，而是越来越重。

再往前看，朝鲜的盗币战绩也是屡见不鲜。

路透在 2024 年援引联合国制裁专家材料称，联合国方面调查了 2017 年到 2024 年间 97 起涉嫌由朝鲜发起、针对加密货币公司的网络攻击，涉及金额约 36 亿美元。

韩国警方在 2024 年 11 月也公开表示，2019 年一笔约 4200 万美元的以太坊盗窃案，背后与朝鲜军方情报系统关联的黑客组织有关。

Drift 这次还有一个细节，在相关安全团队支持下，现阶段对这次行动与 2024 年 10 月 Radiant Capital 攻击背后都指向了朝鲜。

放在一起看，这就不是几个互不相干的案子，而是同一类人，在不同项目、不同时期、不同场景里，反复使用一套已经打磨得相当成熟的打法。

三、朝鲜黑客的收割体系

说到这里，文章真正想和大家聊的，不是"朝鲜最近又偷了多少钱"，而是另一件更值得行业从业者注意的事：过去几年，大家聊加密行业，注意力都放在香港、美国、迪拜，放在牌照、ETF、稳定币、公链、支付、RWA、托管这些明面上的叙事上。

可另一条更硬的现实线索是，最持续、最系统、最有组织地从这个行业里拿走真金白银的，恰恰是朝鲜。

很多人一提朝鲜在加密行业里的存在，第一反应还是那几个老印象：黑客组织、盗币、洗钱。这些词当然没错，但现在看，可能还是低估了它。

因为它做的事情，早就不只是"黑几个项目"这么简单。更准确一点说，它已经越来越像围绕加密行业，跑出了一套完整的收割体系。

第一层：大额盗币

攻击交易所、跨链桥、钱包、协议，把资产直接拿走。Bybit 是最醒目的例子，15 亿美元这个量级，已经不是普通意义上的行业事故了。

Chainalysis 2025 年的报告还提到，朝鲜相关攻击在当年占到所有服务型平台被盗事件的 76%，而前几大案件占去了绝大部分损失。这说明它不是广撒网的小偷，而是越来越会集中资源、挑选目标、捕大鱼。

第二层：伪装渗透

接近项目方，经营关系，伪装成行业内部看起来很正常的角色。Drift 这次就很典型。对方不是突然冒出来的陌生账号，而是在活动上见过、在群里聊过、在业务上对过很多细节的人。

路透的报道也提到，朝鲜黑客越来越多地通过伪造工作机会渗透加密行业。假招聘方、假公司网站、假技术测试、假面试流程，这些东西可怕的地方，不在于花样多新，而在于它们都贴着行业真实的工作流长出来。

第三层：远程卧底

美国司法部在 2025 年 6 月公布的案件显示，朝鲜相关远程信息技术人员利用盗用或伪造身份，在 100 多家美国公司找到远程工作；整条链路背后，还有假网站、前台公司、电脑中转点、洗钱账户等配套结构。

FBI 公布的通缉信息还显示，其中有人利用远程岗位的权限，从两家公司盗走了价值超过 90 万美元的虚拟货币。到了这个层面，风险已经不是"外部攻击"了，而是"人已经进了屋子"。只要人能进来，招聘、设备、代码仓库权限、财务流程、终端管理，这些原来看起来很琐碎的事，都会变成里应外合的安全攻击和资产掠夺。

第四层：洗钱变现

最后一层，是后端的洗钱和资金处理能力。路透 2024 年援引联合国制裁专家材料称，朝鲜在 2024 年 3 月通过混币工具处理了 1.475 亿美元此前从相关案件中盗得的资产；同一报道还提到，联合国方面认为这类网络攻击与获取资金、规避制裁、支持其武器项目有关。

朝鲜不是"偷完就结束"，它后面还有一整套拆分、跳转、清洗、再变现的能力。

四、为什么是加密行业

很多正经项目方牛熊一轮就没了，团队散了，产品停了，币价归零。朝鲜不是。它没有发布会，没有路线图，也没有品牌叙事，但它每年都在稳定地从这个行业里拿钱，而且方法越来越成熟。

朝鲜会长期盯着加密行业，不是因为它对这些新概念有多大兴趣，而是因为这个行业对它来说确实好用。

第一，是资金更容易盗用。 传统金融体系里很多钱，它碰不到，或者碰起来成本太高。银行、清算、跨境监管、制裁名单，每一层都是门槛。可在链上世界，只要前端能找到入口，后面的拆分、跨链、再分发空间就大得多。一旦被盗资产进入链上体系，后面的处理空间和难度，就和传统金融不是一回事。

第二，是组织更容易渗透。 加密行业天然全球化、远程化、轻组织。大家靠社交软件、视频会议、代码平台、文档工具、测试分发工具，把合作、开发、融资、运营、接入、做市全跑起来。平时看，这是效率；换个角度看，这就是攻击面。

五、加密从业者的应对指南

对很多加密项目方来说，这不是国际政治的远消息，而是这个行业今天最现实的经营风险之一。这不是一个抽象的安全提醒，而是一个很现实的经营问题。

1. 员工招聘和远程管理

美国司法部和 FBI 已经把风险讲得很具体了：朝鲜相关信息技术人员会用盗用或伪造身份，在美国公司找远程岗位，并通过美国境内的电脑中转点接收公司寄出的设备，再以远程方式接入公司网络。对加密行业创业团队来说，凡是接触代码仓库、生产环境、钱包、部署流程、财务后台、身份认证数据的岗位，都不能再只看简历和交付结果。

至少要做三件事：

第一，身份核验要交叉做，不能只看职业社交平台、视频面试和一张护照照片。

第二，敏感岗位必须使用可控设备，不能长期默许用纯个人电脑处理核心业务。

第三，权限要默认最小化，尤其是试用期员工、外包人员、合同工，不要一上来就给太多入口，再想着后面慢慢收。

2. 合作伙伴身份核实

Drift 这次给行业最大的提醒之一，就是线下见过面、线上聊得顺、问题问得专业、甚至真的投了钱，这些都不能再自动默认为可信。

更务实一点的做法是：核验不能只停留在名片、官网和社交媒体，要去看公司注册信息、历史项目痕迹、真实团队成员、共同熟人反馈，必要时要求对方提供可验证的机构材料。接触越久，合作越深，该做的风控可一点都别少。

3. 安全审计要升级

很多团队现在一提安全审计，想到的还是智能合约审计、钱包管理、多签配置、链上监控。这些当然都要做，但已经不够了。

今天更该关注的是"人的工作流"。谁可以下载外部代码仓库，谁接触过多签相关设备，谁能进入生产环境，谁能触发财务审批，谁的终端碰过核心权限。这些问题，很多团队平时并没有系统盘过。

比较务实的做法是，每季度至少做一次权限和终端审计：先盘点谁能碰多签、谁能看核心代码仓库、谁能进生产环境、谁有财务审批权限，再把相关设备做隔离和风险检查。 Drift 自己在更新里也提醒：检查团队，审计谁有权限访问什么，并把每一台接触过多签的设备都视为潜在目标。

4. 安全预算是经营成本

很多小团队最容易省的，就是审计、风控、流程设计、终端管理这些钱，觉得贵，觉得慢，觉得影响业务推进。可朝鲜相关攻击这几年的特点，恰恰是愿意花很长时间和不低成本来换一次高回报。这对于掌控大量客户资产的加密行业从业者，应该是一次高声亮的提醒。

加密货币行业发展到今天，大家总喜欢问一个问题：它到底改变了什么。

有人会说，它改变了支付；有人会说，它改变了资产发行；有人会说，它改变了全球资本流动的方式。

可如果把朝鲜这条线也放进来看，你会发现，它至少已经改变了一件事：它让一个原本在传统金融体系里处处受限的国家，第一次找到了一套可以长期运转、跨境流动、持续拿钱的工具。

只是，它用了一种最直接，也最不体面的方式。

本文作者