北韓駭客於2025年竊取了價值20億美元的加密貨幣

• 朝鮮駭客於2025年竊取了20億美元的加密貨幣，儘管攻擊次數減少，金額仍增加了51%。
• 攻擊者從大量攻擊活動轉向對高價值交易所發動精準打擊。
• 以太坊基金會發現100名朝鮮行為者已滲透進加密貨幣招聘管道內部。

根據網路安全公司CrowdStrike發布的最新威脅報告，與朝鮮國家有關聯的駭客在2025年竊取了超過20億美元的加密貨幣，較前一年增加了51%。最引人注目的細節不在於金額本身，而在於這一數字是如何達成的。

攻擊次數有所下降，但每次攻擊的成功率卻大幅提升。與朝鮮有關聯的組織已從大規模攻擊活動轉向針對高價值交易所和Web3協議發動更少、更精準的定向行動。

為何加密貨幣成為攻擊目標

CrowdStrike的分析直接說明了為何加密貨幣領域特別吸引朝鮮國家行為者。與傳統銀行系統的等額盜竊相比，被盜資金可以以更高的匿名性進行套現和轉移。這些資金幾乎可以確定正被洗白，用於資助該國的軍事計劃。

根據同一份報告，金融服務業目前是全球遭受網路攻擊第四多的行業。在該類別中，加密貨幣交易所和Web3基礎設施兼具最高的流動性和出場流動性，使其成為大規模運作的國家行為者最高效的攻擊目標。

滲透已深入招聘管道內部

報告中最令人憂慮的發展是攻擊者如何在第一時間獲取加密貨幣項目的訪問權限。傳統的邊界安全已不再是失守點，招聘管道才是。

2025年4月，以太坊基金會發現100名由朝鮮支持的個人已直接滲透進加密貨幣項目，通常以遠端僱員身份嵌入開發團隊中。Drift Protocol案例是最典型的例子。與朝鮮有關聯的技術人員在一場主要的加密貨幣行業會議上與Drift Protocol團隊會面，並建立了長達六個月的工作關係，之後才被識破。

鏈上調查員ZachXBT追蹤了多家公司的類似滲透模式，表明Drift事件並非孤立事件，而是協調策略的一部分。

行動如何演變

CrowdStrike描述這一行動結構已顯著成熟。與朝鮮有關聯的組織現在通過專門與加密貨幣領域掛鉤的分散式承包商和中介網絡來運作。這種去中心化的方式增強了韌性，並允許更快速地適應平台安全升級。

Web3中對遠端貢獻者、開放開發環境和全球外包的依賴已成為結構性漏洞。每位遠端開發者都是潛在的入口點。每位承包商的入職都是潛在的安全威脅。

行業正採取哪些應對措施

各大加密貨幣平台的安全團隊正在整個入職和代碼貢獻流程中加強監控和驗證措施。背景調查正在深化。身份驗證正在多層加強。來自新貢獻者的代碼提交正受到更嚴格的審計。

挑戰在於朝鮮行為者持續同步調整其技術。隨著安全團隊收緊招聘管道，威脅行為者也不斷完善其掩護說辭、專業網絡和社會工程手段，以繞過新的控制措施。

相關新聞：CertiK報告顯示朝鮮駭客於2026年竊取了11億美元的加密貨幣