4 月 18 日(週六),由 Kelp DAO quietly bled 116,500 rsETH 所運行的一條跨鏈橋被悄悄掏空。到了週一,LayerZero had a name for the attackers——這個名字並不新鮮。
北韓的 Lazarus 集團 已不再只是加密圈的一個「駭客綽號」。它是最明確的證據,證明國家支援的網攻行動,已把數位資產變成戰略性資金管道;在這條戰線上,產業最大宗的漏洞事件,看起來越來越不像單一臭蟲,而像是一場場拖長戰線的作戰失利。
- LayerZero 將 2026 年 4 月 18 日 Kelp DAO 約 2.92 億美元 以太幣 (eth) 衍生代幣遭攻擊一事,歸因於北韓 Lazarus 集團及其 TraderTraitor 分支。
- Chainalysis 指出,2025 年與北韓相關的行動共竊取 20.2 億美元加密資產,累計總額達 67.5 億美元。
- 這種模式顯示,主導威脅不再是零星的智慧合約漏洞,而是國家支援的長期操作戰。
Kelp 遭殃,以及為何「歸因」重要
LayerZero 在 4 月 20 日的事後分析報告中指出,Kelp DAO 的資金外流是國家級行動所致。聲明稱這是 2026 年規模最大的 DeFi 攻擊,並點名「高度成熟的國家行動者,很可能是北韓 Lazarus 集團,特別是 TraderTraitor」。
這次的手法並不是智慧合約漏洞。攻擊者入侵了 LayerZero 去中心化驗證網路所使用的兩個 RPC 節點,接著對乾淨節點發動阻斷服務攻擊(DoS),迫使系統切換到已被投毒的節點。
如此一來,Kelp 所謂「1-of-1 驗證者」架構就變成橡皮圖章,對造假的跨鏈訊息簽名放行,橋接合約隨後向攻擊者釋放了 116,500 顆 rsETH。
Kelp 透過其緊急多簽機制在約 46 分鐘後就暫停核心合約,攔截了兩次後續的掏空嘗試,避免另外約 1 億美元資金被轉走。
Kelp 公開反駁 LayerZero 的說法,指出單一驗證者組態其實是 LayerZero 文件中的預設配置,而非公然違背明確警告。
事件被「歸因」的對象,決定了它是修補後就能翻篇,還是完全不同的故事。臭蟲只需要修補;國家行動者,則意味著一個長期存在的敵手。
延伸閱讀: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Lazarus 究竟是誰
FBI 在 2025 年 2 月 26 日針對 Bybit 盜竊案發布的通告中指出,TraderTraitor 叢集隸屬北韓國家級網攻架構,並點名其是 15 億美元虛擬資產劫案的直接操作者。
路透社 2022 年的報導與美國財政部多次制裁也揭示,Lazarus、Bluenoroff 與 Andariel 均隸屬平壤主要軍事情報機構——偵察總局。
在這個結構中,分析人員追蹤著一系列輪替使用的代號:APT38、Hidden Cobra、Diamond Sleet、Jade Sleet、Slow Pisces、TraderTraitor——人員與基礎設施往往交疊共用。
對加密產業而言,後果非常直接。
一起攻擊若被歸因於「Lazarus」,對手不是地下室裡的青少年,更不太可能只是單一外包駭客,而是一個擁有預算、任務授權,且以「年」為時間尺度來規劃行動的國家級單位。
這會改變何謂「可信防禦」的標準,也改變了在洗錢鏈條的最終端,真正受益的是誰。
延伸閱讀: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
從 Sony 到智慧合約
Lazarus 的故事並非始於加密貨幣。它先是在 2014 年以 Sony Pictures 清除型攻擊現身,接著是 2016 年的孟加拉銀行 SWIFT 盜匯案,以及 2017 年的 WannaCry 勒索軟體。
加密貨幣是下一個戰場,而且來得很快。
南韓國家情報院在 2022 年 12 月對美聯社表示,北韓駭客在五年間共竊取約 12 億美元虛擬資產。
聯合國專家小組報告揭露,2017 至 2023 年間疑似由北韓發動的 58 起網攻,總額約 30 億美元,用於支撐平壤的大規模毀滅性武器計畫。
Chainalysis 的最新數據把這條累積曲線推得更高:迄今已識別的與北韓相關加密竊案總額達 67.5 億美元,光是 2025 年就有 20.2 億美元。
軌跡本身就是故事:每年事件數量在減少,但單一事件的金額越來越大。產業愈來愈有錢,標的愈來愈肥,而 Lazarus 也同步放大它的槓桿。
延伸閱讀: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
與 Lazarus 有關的最大劫案
美國財政部在 2022 年 3 月 Ronin Bridge 被掏空後更新了對 Lazarus 的制裁名單,新增了與 Ronin 事件相關的錢包地址,將約 6.25 億美元損失歸因於北韓行動者。
幾個例子就能看出規模:
- Ronin Network,2022 年 3 月:Axie Infinity 側鏈橋約 6.25 億美元被掏空,數週後遭美國財政部 OFAC 正式歸因於 Lazarus。
- Harmony Horizon,2022 年 6 月:約 1 億美元被盜,FBI 於 2023 年 1 月正式將其與 Lazarus 與 APT38 連結。
- WazirX,2024 年 7 月:印度交易所約 2.35 億美元透過多簽遭竊,普遍被認為與北韓行動者有關。
然後是突破性的一年。
2024 年 5 月,DMM Bitcoin 被盜走 4,502.9 顆 Bitcoin (btc),當時價值約 3.08 億美元。FBI、國防部與日本警察廳於 12 月證實,此案與 TraderTraitor 有關,手法是以招募為誘餌,滲透錢包軟體供應商,最終操控提款交易。
Bybit 在 2025 年 2 月,是目前的高峰。
攻擊者在一次例行冷錢包轉帳中偽裝簽署介面,將約 40 萬顆以太幣、約 15 億美元,導向未知地址。
Chainalysis 現在認為,單此一案就佔了 2025 年全產業 34 億美元被竊金額中的 15 億美元。Kelp 的 2.92 億美元,只是最新一章,並不是最聳動的那一章;這是當一個成熟行動單位不再需要「製造聲量」時,事件看起來會是什麼樣子。
延伸閱讀: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Lazarus 的玩法已經變了
FBI 與日本在聯合發布的 DMM Bitcoin 通告中詳細說明了 Lazarus 的新模板。把 Lazarus 想成只是釣魚郵件工廠,已經過時。
一名駭客假扮 LinkedIn 招募人員。一份假的入職測驗,在錢包軟體供應商 Ginco 工程師的個人 GitHub 上植入惡意 Python 腳本。被竊的 session cookie 讓攻擊者進入 Ginco 內部通訊系統,數週後,原本合法的 DMM 交易請求在傳送途中被悄悄改寫。
在 Bybit 事件中,Safe{Wallet} 證實,遭竄改的簽署應用程式表面顯示正確的收款地址,實際卻在底層修改智慧合約邏輯。在 Kelp 一案中,LayerZero 指出攻擊者替換了驗證者所信任的 RPC 節點執行檔,並設計成使用後自毀、抹除本地紀錄。
共同點在於:程式碼本身很少是唯一的漏洞。真正脆弱的是人員、供應商、建置流程與基礎設施託管方。
Chainalysis 也標記了另一條平行管道:北韓行動者以假身分滲透成為加密公司遠距 IT 員工,有時還透過 Upwork、Freelancer 等平台找協力者擴大規模。
延伸閱讀: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
為何 Lazarus 一再回到加密世界
北韓的動機是經濟存續,而非意識形態。
美聯社與聯合國的報導一再指出,加密竊案已成為這個受制裁經濟體的替代收入來源,並直接資助其飛彈及核武計畫。
美聯社引述的美國官員甚至估計,網路犯罪如今可能已占北韓外匯收入近一半。
加密貨幣恰好是這種任務的近乎完美標的。交易在數分鐘內最終結算,而不是多日,所以不存在可以反向沖銷的往來銀行;市場流動性深厚、假名性便宜,而跨鏈基礎建設移轉價值的速度,遠快於任何執法單位凍結資金的能力。
Yahoo Finance 引述 LayerZero 關於 Kelp 的時間線指出,攻擊者在掏空後約合併了 7.4 萬顆以太幣,並在出手前約 10 小時就透過 Tornado Cash 預先注資錢包。
對一個政府而言,若要在傳統銀行劫案與跨鏈橋攻擊之間做選擇,橋攻擊往往是更優解。 every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
鏈上調查員實際上加咗啲乜
Arkham 喺 2025 年 2 月 21 日嘅懸賞帖入面,鳴謝 匿名鏈上偵探 ZachXBT,話佢提供咗「決定性證據」,透過測試交易、關聯錢包同時間序分析,將 Bybit 被攻擊事件同 Lazarus 串連起嚟。
五日之後,FBI 喺公開服務公告入面正式點名北韓,使用 TraderTraitor 呢個標籤,並且公布被封鎖嘅錢包名單。
呢個先後次序係有意義嘅。好似 ZachXBT 呢類鏈上偵探,經常係最早一批公開將大型攻擊事件同 Lazarus 關聯錢包同洗錢模式掛鈎嘅人,有時仲快過官方確認。
佢哋唔係最終真相來源。佢哋係一層早期嘅公開歸因層,可以加速交易所層面嘅反應,同時聯邦機構就會進行較慢、需要達到證據標準嘅程序。
呢種分工係新嘅。亦都好關鍵,因為一旦被盜資金開始喺唔同鏈之間彈嚟彈去,剩低嘅問題就只係:地址幾快畀人標記出嚟。
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
點解行業仲係打輸呢啲仗
大多數加密安全討論仲係圍繞程式碼審計打轉。Lazarus 對審計完全唔在意。
真正重要嘅攻擊面係營運層面。入面包括第三方簽名工具、錢包供應商、節點基建、招聘管道、建置系統,以及少數擁有特權存取權限嘅人。喺過去兩年,以上每一項至少都喺一宗與 Lazarus 有關嘅漏洞事件入面出現過。
Chainalysis 指出第二個結構性問題:洗錢周期已經被打磨成大約 45 日、三波段嘅模式,將被盜資金推入混幣器、跨鏈橋同中文 OTC 網絡,分批搬走,而每批往往控制喺 50 萬美元以下,以免觸發監控。
行業反應依然支離破碎。交易所封黑名單嘅速度唔一樣。有啲 DeFi 協議會暫停,有啲就唔會。
事後嘅一份 Dune 分析發現,有 47% 正在運行嘅 LayerZero OApp 仍然採用 1-of-1 DVN 配置。
防守方要每個星期都贏。Lazarus 一季贏一次就夠。
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Kelp 預示緊下一階段啲乜
由 Kelp 事件得出嘅唔舒服結論係:就算經歷咗 Bybit 之後,程式碼安全同營運安全之間嘅落差仍然好大。
Bybit 係一宗簽名介面被攻陷嘅事件,背後係一份 200 億美元嘅資產負債表。Kelp 則係基建層被攻擊,目標係一個中型嘅流動性再質押協議。
同一個行動集群,不過攻擊向量唔同,發生喺較早前亦被指與北韓有關嘅 Drift Protocol 大約 2.85 億美元被盜事件 之後十八日。
呢種節奏先係重點。Lazarus 迭代自己作業手冊嘅速度,比 DeFi 團隊強化依賴組件嘅速度更快,而每一次成功得手,都為下一輪招聘、工具開發同耐心鋪路。
The Hacker News 報道,與北韓有關嘅行動者喺 2025 年就已經佔全球被盜加密資產總額嘅 59%,突顯咗呢個對手喺行業損失入面有幾核心。
好似單一驗證人配置、冇審計嘅節點營運商同共用錢包軟件呢啲設定,已經唔再係次要風險項目。喺對手係一個國家級實體嘅世界入面,呢啲就係主戰場。
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
結論
Lazarus 呢個例證說明,加密圈最大型嘅安全失敗,而家已經同政治、金融同基建三方面同時交織。
Ronin、Harmony、WazirX、DMM Bitcoin、Bybit,到而家嘅 Kelp,都唔係一串互相無關嘅意外。佢哋係一場運動,由一個被制裁政權發動,針對一個仍然低估持久型國家級對手樣貌嘅行業。
下一次嘅 Kelp 已經喺計劃之中。問題喺於行業係將佢當成一份錯誤報告,定係將佢當成前線。
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Kelp DAO 被黑發生咗乜事?
喺 2026 年 4 月 18 日,攻擊者從 Kelp DAO 操作嘅一條跨鏈橋入面,抽走 116,500 枚 rsETH,價值大約 2.92 億美元。今次利用並冇針對智能合約漏洞。相反,攻擊者入侵咗 LayerZero 分散式驗證人網絡(DVN)使用嘅兩個遠端程序呼叫(RPC)節點,之後強制觸發故障轉移,令一個被污染嘅節點為一條造假嘅跨鏈訊息蓋章背書。Kelp 嘅緊急多簽喺 46 分鐘之後暫停核心合約,阻止咗另外兩次合共約 1 億美元嘅後續抽走企圖。
乜嘢係 Lazarus 集團?
Lazarus 係一個統稱,用嚟指涉與北韓國家有聯繫嘅網絡攻擊行動者,美國財政部同 FBI 將佢哋同平壤主要軍事情報機構——偵察總局——掛鈎。分析人士喺同一個傘狀標籤底下,追蹤多個子集群同別名,包括 TraderTraitor、APT38、Bluenoroff、Andariel、Hidden Cobra、Diamond Sleet、Jade Sleet 同 Slow Pisces。呢啲集群之間經常共用基建同人手。
點解 LayerZero 會將 Kelp 被攻擊歸因到 Lazarus?
LayerZero 嘅事後檢討指出,攻擊者嘅作業手法同錢包行為,有住典型國家級行動者特徵,特別係 Lazarus 底下嘅 TraderTraitor 子單位。喺攻擊前大約十個鐘,經 Tornado Cash 預先注資;喺被攻陷基建上面使用會自毀嘅執行檔;同埋事後將大約 74,000 枚以太幣集中起嚟,呢啲都同以往被指與北韓有關嘅攻擊模式相符。
北韓總共偷咗幾多加密貨幣?
Chainalysis 指出,至今被識別為與北韓有關嘅加密盜竊總額為 67.5 億美元。其中,單單喺 2025 年就有 20.2 億美元,約佔當年全球被盜加密資產總額嘅 59%。較早前南韓國家情報院嘅報告估算,至 2022 年為止五年期間,總額約為 12 億美元;而聯合國專家小組則調查咗 2017 至 2023 年之間 58 宗疑似北韓網攻事件,金額大約 30 億美元。
乜嘢係 TraderTraitor?
TraderTraitor 係 Lazarus 旗下一個專門針對加密產業目標嘅子集群。佢最標誌性嘅手法係對技術人員進行社交工程,包括喺 LinkedIn 假扮招聘人,提供帶有惡意程式碼嘅職前測試,以及入侵錢包軟件供應商或者簽名基建。喺 DMM Bitcoin 3.08 億美元被盜事件入面,FBI、國防部同日本警察廳正式點名 TraderTraitor;FBI 之後亦再度指佢哋係 15 億美元 Bybit 盜竊案嘅操作者。
最大型、已知與 Lazarus 有關嘅加密攻擊係邊幾單?
最大型、已公開歸因嘅事件包括:2022 年 3 月嘅 Ronin Network,大約 6.25 億美元;2022 年 6 月嘅 Harmony Horizon,大約 1 億美元;2024 年 7 月嘅 WazirX,大約 2.35 億美元;2024 年 5 月嘅 DMM Bitcoin,大約 3.08 億美元;2025 年 2 月嘅 Bybit,大約 15 億美元;以及 2026 年 4 月嘅 Kelp DAO,大約 2.92 億美元。
Lazarus 點樣洗已經偷到嘅加密貨幣?
Chainalysis 描述咗一個已經被打磨成熟、大約 45 日、分三波嘅洗錢周期。被盜資金會經過混幣器、跨鏈橋同中文 OTC 網絡轉移,通常拆散成每批低於 50 萬美元嘅金額,以免觸發監控門檻。目標係喺交易所黑名單同鏈上分析追上之前,將資金送到可以套現嘅場域。
點解北韓要針對加密貨幣?
根據聯合國專家小組報告同美聯社引用嘅美國官員講法,加密盜竊為平壤孤立嘅經濟提供一條規避制裁嘅收入渠道,亦直接資助其彈道導彈同核計劃。美方估算指出,網絡犯罪而家可能已經佔北韓外匯收入接近一半。加密軌道符合佢哋嘅任務,因為交易可以喺幾分鐘內最終結算,而唔可以由代理銀行逆轉。
ZachXBT 係邊個?佢扮演咩角色?
ZachXBT 係一位匿名鏈上調查員,佢公開嘅歸因工作多次早於政府正式確認。在 Bybit 案件入面,Arkham 喺 2025 年 2 月 21 日嘅懸賞帖度,鳴謝佢做出將攻擊同 Lazarus 串連嘅交易分析,比 FBI 正式點名北韓早咗五日。好似 ZachXBT 呢類鏈上偵探,構成咗一層早期嘅公開歸因層,唔係用嚟取代聯邦調查人員,而係為交易所層面提供一個更快嘅反應機制。
加密產業能唔能夠阻止 Lazarus?
淨係靠程式碼審計係唔得嘅。真正重要嘅攻擊面係營運層,包括第三方簽名工具、錢包供應商、節點基建、招聘管道同建置系統。Kelp 事件之後嘅一份 Dune 分析指出,47% 正在運行嘅 LayerZero OApp 仍然採用 1-of-1 驗證人配置,而呢個正正就係促成 Kelp 漏洞嘅設定。加固呢一層——跨供應商、基建託管方同人員存取——先係而家防守效益集中嘅地方。
而家用 Kelp DAO 安唔安全?
Kelp 透過其緊急多簽暫停核心合約,…(原文未完,已到結尾)multisig 在偵測後 46 分鐘內完成部署,成功阻擋了另外兩次嘗試抽乾資金的攻擊。在恢復任何活動前,用戶應先查閱 Kelp 和 LayerZero 的官方事故通報渠道,以了解目前合約狀態、任何追討或賠償計劃,以及更新後的 verifier 設定。
Lazarus 與 TraderTraitor 有何分別?
Lazarus 是一個總體「傘狀」組織,而 TraderTraitor 則是該組織底下的一個專門分支,專注針對加密貨幣行業目標,並以對工程師和錢包軟件供應商進行社交工程攻擊聞名。當 FBI 將某次攻擊明確歸因於 TraderTraitor 時,它指的是具體的作業單位,而不只是更廣義、與國家有關聯的整個生態系統。