加密盜竊規模再創新高,北韓佔去三分之二

加密盜竊規模再創新高,北韓佔去三分之二

2026 年上半年,全球加密貨幣生態系每被偷走 1 美元,就有三分之二落入同一個國家級行為體的口袋。

這不是四捨五入誤差,也不是單一驚天大案造成的統計假象。

這是長期、工業化駭侵行動的產物——這個行動已花了將近十年打磨手法,如今單獨一方的威脅程度,就超過整個產業中所有其他行為者加總。

就算以加密犯罪一向「數字驚人」的標準來看,這次的規模依然令人震驚。

根據本週區塊鏈安全研究人員流傳的數據,與北韓有關的集團在 2026 年上半年的全球數位資產駭侵損失中,佔了 66.2%。

如此高度集中於單一威脅集團,代表整個產業風險輪廓出現質變。而這發生的時間點,正好是自 2021 年以來,機構資本湧入加密市場速度最快的時刻。

重點整理(TL;DR)

  • 與北韓相關的駭客在 2026 年上半年攫取了全部加密駭侵損失的 66.2%,創下國家級加密盜竊集中度的新高。
  • Lazarus Group 與其隸屬的朝鮮民主主義人民共和國(DPRK)單位,已從早期「撿便宜」式交易所駭侵,演化為高度結構化的行動,鎖定 DeFi 協議、跨鏈橋,以及對開發者的社交工程。
  • 這些資金直接用於資助北韓武器計劃,使加密安全成為地緣政治議題,華府、布魯塞爾與首爾的監管機構現在都在緊急應對。

66% 這個數字代表什麼?

在分析整體戰略之前,先來檢視一下這個數字背後的方法論。

66.2% 指的是 2026 年上半年、可驗證的加密駭侵損失中,被追溯到與 DPRK 相關錢包的占比——這是基於鏈上鑑識,從最初竊取,到使用混幣服務,再到最終出場變現的資金流向追蹤。

發佈加密犯罪縱向數據最完整的 Chainalysis 在其 2024 年犯罪報告中指出,與北韓相關的集團在 2023 年透過 47 起事件,竊取了約 13.4 億美元,占當年加密盜竊總額的 61%。

2026 年上半年的數字代表進一步集中,顯示 DPRK 的能力與其他威脅行為者之間的差距是在擴大,而不是縮小。

這 66.2% 的占比,是迄今在單一六個月期間內,國家級數位資產盜竊集中度的最高紀錄。

同時也要弄清楚,66% 這個數字「沒有」涵蓋什麼。

它不包括退出詐騙(exit scam)、地毯式捲款(rug pull)與一般詐欺——這些通常在 Chainalysis 的分類中是與駭侵分開計算的。分母只包含已驗證的駭侵損失。

若把所有類型的加密犯罪全算進去,DPRK 的占比會下降,但被偷走的「絕對金額」並不會因此減少。

延伸閱讀: XRP 現貨需求升溫,Binance 永續合約閃現 7.83 億美元警訊

Lazarus Group 如何成為加密「超級強權」

Lazarus Group——美國情報機構與民間研究者對最具能力的 DPRK 網攻單位所使用的總稱——一開始並不是以加密為主的行動。

他們早期的輪廓,包含破壞性攻擊、透過 SWIFT 網路漏洞實施銀行搶案,以及勒索軟體。

向加密領域的轉向是漸進發生的。大約在 2017 年開始成形,當時該集團鎖定南韓交易所;而在 2022 年 Ronin Network 遭駭之後,攻勢急遽升級。

Ronin 遭駭事件中,Lazarus Group 從 Axie Infinity 側鏈盜走 約 6.25 億美元,是一個戰略轉折點。

這次事件顯示,相較於已在過去十年多次被攻擊、並強化防禦的中心化交易所,擁有複雜智慧合約、仰賴跨鏈橋,以及充滿開發者社交工程弱點的 DeFi 基礎建設,提供了遠為肥美的攻擊面。

這起發生在 2022 年 3 月、金額 6.25 億美元的駭侵,至今仍是單一規模最大的 DeFi 駭客事件,也成為後續 DPRK 加密行動的作業模板。

自 2022 年起,該集團有系統地打磨三大攻擊向量。

第一,是竊取或植入開發者憑證——典型手法是透過假 LinkedIn 求職機會,讓目標在開啟文件或執行程式庫時安裝惡意軟體。

第二,是跨鏈橋的漏洞利用,鎖定驗證跨鏈資產轉移的智慧合約邏輯。

第三,是針對加密協議所使用軟體相依性的供應鏈攻擊——這種技術原本在傳統資安領域中被廣泛使用,如今被移植到區塊鏈目標上。

延伸閱讀: Eng 對 Ind 已不只是板球賽,對預測市場交易員意義更大

攻擊目標從交易所轉向 DeFi

早期多數重大加密駭客事件都寫在中心化交易所的歷史上。2014 年的 Mt. Gox、2016 年的 Bitfinex、2018 年的 Coincheck。這些攻擊依賴入侵熱錢包基礎設施、利用 API 漏洞或收買內部人。行兇者多半是見縫插針的犯罪集團,而非有國家資源撐腰的行為體。

現在 DPRK 的劇本本質上完全不同。TRM Labs 在其 2024 Crypto Threat Intelligence 報告指出,DPRK 加密盜竊中來自 DeFi 協議漏洞而非中心化交易所駭侵的占比,已從 2021 年的大約 30%,攀升至 2024 年的 70% 以上。這個變化與鏈上流動性的成長軌跡幾乎同步。

全球 DeFi 協議的總鎖倉價值(TVL)在 2021 年底曾高於 1,800 億美元,隨 2022 年熊市大幅下跌,之後又回升至再次足以吸引攻擊者的水位。根據 DefiLlama 截至 2026 年中數據,全鏈 DeFi TVL 已超過 1,100 億美元,其中跨鏈橋以資金池形式集中掌控了不成比例的大量價值。

對高階攻擊者而言,DeFi 橋合約在結構上極具吸引力,因為它們把巨量流動性集中在單一智慧合約中,同時又仰賴複雜的跨鏈訊息驗證機制,而這類機制極難做到完全審計。

跨鏈橋之所以成為 DPRK 單位的特別執念,源於其獨特的風險拓樸。橋合約必須信任一條自己無法原生驗證的遠端鏈所提出的主張。其驗證邏輯錯綜複雜,往往依賴多重簽章委員會或輕客戶端(light client)證明。兩種路線都會產生可被利用的假設。Ronin 橋採用九簽章全簽(9-of-9)多重簽章設計,但在社交工程攻擊下,實際上被降格為五簽即足(5-of-9)的閾值。攻擊者取得這五個簽章後,即可授權提款,將橋上資金一掃而空。

延伸閱讀: 在 Opus 4.8 依然夠用的情況下,Fable 5 值不值得多付一倍價錢?

假工作機會與開發者鎖定攻擊

DPRK 在 2026 年上半年的行動中,有一個最持續、也最被低估的元素,就是針對個別開發者與協議員工的社交工程基礎設施。這並非傳統意義上的「技術」駭侵,而是一場耐心經營關係的情報行動,最後才會落到實際執行惡意程式碼。

標準劇本已由 Mandiant 在其 APT38 金融威脅分析,以及美國 網路安全與基礎設施安全局(CISA)CISA Alert AA22-108A 中詳細記錄。DPRK 幹員會在 LinkedIn 上打造看似專業、可信的職涯檔案,常搭配 AI 生成的大頭照。他們會主動接觸在加密協議工作的開發者,提供外包案、面試機會或程式碼審查合作。

在已被記錄的案例中,DPRK 幹員會與目標開發者在 LinkedIn 上維持數週甚至數月的互動,透過對方實際負責之程式碼庫的技術性對話,建立專業信任,再於適當時機投遞惡意載荷。

一旦目標投入互動,攻擊者最終會送出一個需要被執行的檔案。這可能是一份內嵌惡意程式的 PDF、一個含有惡意相依套件的 GitHub 儲存庫,或是偽裝成技術測驗、實際上用來安裝後門的檔案。一旦在開發者機器上取得立足點,攻擊者即可蒐集私鑰、內部系統的工作階段權杖,以及用於管理協議部署的雲端基礎設施憑證。

這種作業技術的成熟度,反映了一種私營犯罪集團無法複製的制度性能力投資。DPRK 的網攻單位是全職的國家雇員,長期接受訓練,有嚴格的行動安全紀律,並累積多年關於哪些協議最脆弱、哪些開發者最容易接近的組織知識。

延伸閱讀: TeraWulf 股價大漲,與 Anthropic 的合作讓這家比特幣礦商押注 190 億美元 AI 轉型

支撐驚人盜竊數字的洗錢基礎設施

竊取加密貨幣只是第一步。要把這些資金轉換為政權可用的收入,需要一條精細複雜的洗錢鏈,而這條鏈本身已成為鏈上研究的重點。事後資金移轉軌跡,是調查人員最常用來將攻擊歸因於 DPRK 的地方,因為該集團在此階段往往呈現出可辨識的行為模式。 資金如何轉移及隱藏上,出現了明確的模式。

Chainalysis 在文件中記錄了朝鮮一貫採用的洗錢流程,為一個多階段的過程。被盜資產首先透過鏈上去中心化交易所兌換成 以太幣 (ETH)比特幣 (BTC),將流動性較差的協議專用代幣轉成流動性更高的資產。其後這些資產會流入混幣服務;該集團過去主要使用 Tornado Cash,但在 2022 年 8 月被 OFAC 制裁後,被迫改用包括 Sinbad 和 Yomix 在內的其他混幣工具,而這兩者之後同樣遭到美國制裁。

OFAC 於 2023 年 11 月將 Sinbad 混幣器列入制裁名單,並於 2025 年 4 月制裁 Yomix 混幣器,凸顯出一種「貓捉老鼠」的動態:每一個朝鮮的洗錢工具最終都會遭制裁,迫使該集團轉移到新的基礎設施。

在完成混幣後,資金會經由一個巢狀交易所帳戶網絡、位於沒有有效打擊洗黑錢執法的司法管轄區內的場外交易(OTC)經紀人,以及點對點平台流轉。最常見的最終套現渠道,歷來多為位於東亞和東南亞、KYC 審查較寬鬆的交易所。2024 年 聯合國專家小組 一份關於北韓的報告明確指出,加密貨幣盜竊所得是朝鮮彈道導彈計劃的主要資金來源,估計加密收入約為其大規模殺傷性武器研發外匯需求的 40%。

延伸閱讀:以太坊或在 Buterin 最激進的精簡鏈計劃下,走向近「零狀態」

監管回應及其限制

美國政府已動用龐大的工具組來打擊朝鮮的加密貨幣行動,包括對錢包和混幣服務實施 OFAC 制裁、FBI 就特定黑客攻擊發布歸因公告,以及與盟國情報機構發出的聯合警示。司法部起訴多名具名的朝鮮特工,但由於缺乏引渡途徑,實際上難以將其繩之於法。

美國回應的局限性在於結構性因素。對錢包地址的制裁,只能有效打擊那些使用受監管金融基建作為套現渠道的行為人。對於能透過處於美國反洗黑錢管轄範圍之外司法管轄區進行資金流轉的高級對手,效果有限。針對 Tornado Cash 的 OFAC 行動雖然具標誌性且備受爭議,但朝鮮在數個月內便適應,轉移至替代基建。

司法部已就與加密盜竊行動有關的案件,起訴七名具名的朝鮮軍事黑客,但無一人受審。這些起訴主要發揮歸因工具的功能,並對那些本可能協助資金流轉的第三方服務起到嚇阻作用。

跨政府反洗黑標準機構 **金融行動特別工作組(FATF)**已將北韓提升至其最高風險類別,並持續呼籲成員司法管轄區,對任何與朝鮮有關的交易採取加強盡職審查。但 FATF 建議屬不具約束力,而對朝鮮最有用作套現渠道的司法管轄區,一般並非 FATF 成員,或雖為成員卻執行紀錄薄弱。

歐盟在 2024 年底全面生效的 加密資產市場規例(MiCA),納入了「旅行規則」要求,強制對超過特定門檻的加密轉帳識別交易對手。支持者認為,此舉封堵了部分 OTC 套現渠道。批評者則指出,朝鮮的行動手法已足夠成熟,可以藉由使用非託管錢包及位於歐盟管轄範圍以外的司法管轄區,繞過 KYC 要求。

延伸閱讀:Meta 的 Muse Image 讓 Instagram 成為 AI 藝術原材料

鏈上鑑證實際顯示了什麼

將加密盜竊行為歸因於北韓,並非單純的政治宣稱,而是建立在可驗證的鏈上數據之上,任何取得公共區塊鏈數據及錢包聚類工具的研究人員,都可以獨立重現相關分析。理解這種歸因機制,對評估其可信度至關重要。

當朝鮮從某個協議中竊取資金時,最初的交易會立即在鏈上顯現。被盜資金會轉入攻擊者控制的錢包,然後執行一連串兌換、跨鏈橋接及混幣操作。另一家區塊鏈分析公司 Elliptic發表詳細的方法論,指出朝鮮相關錢包會圍繞一組行為特徵聚集,包括特定的時間模式、偏好的兌換路徑、中轉錢包中留下具特徵性的少量「灰塵」餘額,以及傾向於在錢包集群中長期持有被盜資金才再移動。

Elliptic 的錢包聚類分析已識別出超過 15,000 個與朝鮮盜竊行動相關的地址,建立了一個互相連接的錢包圖譜,鑑證分析人員得以在資金經過混幣後,仍可追蹤其流向。

FBI 對特定黑客攻擊(包括 Alphapo 入侵事件及 2023 年 Atomic Wallet 漏洞)的歸因公告,正是基於這種鑑證方法,並結合了機密的訊號情報。

公共鏈上數據與政府情報的結合,造就了遠超傳統網絡犯罪調查(在那裏並不存在鏈上證據)的歸因信心水準。

延伸閱讀:Saylor 指出每年 3.3% 比特幣增長即可維持派息策略

IT 工作者計劃:平行的收入渠道

獨立於駭客行動之外,朝鮮還運行一個平行的加密收入產生計劃,在 2024 和 2025 年受到執法部門高度關注。數以千計的北韓國民,利用 AI 生成文件和深偽影片技術偽造身份,在北美和歐洲的加密公司及 Web3 初創企業中取得遠程工作職位。

司法部於 2024 年 5 月起訴十四人,指控他們運作一個計劃,將北韓 IT 工作者安插在超過 300 間美國公司,並將收入匯回朝鮮。

起訴書指稱,個別工作者每年收入介乎 25 萬至 30 萬美元,整體計劃在數年間合共產生數千萬美元收入。

司法部於 2024 年 5 月的起訴文件,記錄了北韓 IT 工作者在美國加密及科技公司每年賺取高達 30 萬美元,其資金則透過分佈在美國、英國及中國的一個中介網絡匯回朝鮮。

IT 工作者計劃對加密產業而言特別陰險,因為它在開發團隊內部植入了內部人存取權。擁有正規憑證及程式庫存取權的 IT 工作者,比試圖突破邊界防禦的外部攻擊者更具威脅。

多名安全研究人員已指出,可疑的程式碼提交模式、無法解釋的程式庫存取,以及異常工作時間,現正被安全意識較高的加密公司視為潛在的朝鮮 IT 工作者指標。

IT 工作者計劃與開發者社交工程攻勢的交集,意味著朝鮮對加密產業的攻擊面是多維度的:外部駭客、透過假求職機會被策反的開發者,以及被安插的內部人,皆構成同時存在的活躍威脅向量。

延伸閱讀:OpenAI GPT-5.6 獲批,特朗普放行更廣泛的 AI 推出

更廣泛的產業安全回應

產業對朝鮮威脅的回應相當實質,但分布不均。

資源最充裕的協議,現時會在部署前進行全面的安全審計,運作六位數賞金級別的漏洞懸賞計劃,並維持具備進攻性研究背景的內部安全團隊。

這種安全投資集中於頂層協議的現象,反映出支配整個加密世界的同一條「冪次定律」。

領先的 Web3 漏洞懸賞平台 Immunefi 報告指,截至 2025 年年中,累計懸賞金支付已超過 1 億美元——協助識別出本可造成數十億美元損失的潛在漏洞。

其歷來最高的一筆單一懸賞金,為向一名在某大型 DeFi 協議被利用前,即時發現關鍵缺陷的白帽研究員支付的 1,000 萬美元獎金。

然而,這種安全支出集中在頂級協議之上的情況,令規模較小的 DeFi 項目——儘管合計仍掌控著數十億美元的鎖倉總值(TVL)——在保護上顯得明顯不足。

橫跨多鏈的橋接問題,是眾多重大駭客事件的核心,也催生了相應的架構性回應。

當中最重要的,是向更「信任最小化」的跨鏈橋邁進,透過零知識證明去驗證來源鏈狀態,而毋須依賴驗證者委員會。

包括 Succinct LabsPolyhedra Network 在內的項目,已構建專門設計的 ZK 輕客戶端基建,目的是徹底消除像 Ronin 這類橋接協議可被利用的「可信委員會」假設。

究竟那套安全基建是否改善得夠快,可以跑贏北韓(DPRK)能力發展,其實真係成疑。

2026 年上半年 66% 嘅佔比,意味住就算行業大量投資,攻擊者仍然跟得上步伐。

延伸閱讀: SpaceXAI Wants A Cursor-Powered Claude Killer Before The $60B Deal Even Closes

地緣政治利害關係同未來發展

加密貨幣盜竊係北韓最重要嘅外匯來源。

呢句唔係誇張修辭,而係有紀錄嘅實際行動現況——美國財政部、聯合國同盟友情報機構都承認。

聯合國專家小組估計,2017 至 2023 年期間,北韓透過加密貨幣盜竊所得款項大約有 30 億美元,而且近年速度仲加快緊。

呢啲資金唔係以傳統意義流入政權庫房。

而係直接流入武器項目——特別係彈道導彈同核彈頭小型化呢啲平壤視為首要戰略優先嘅項目。

每一美元從 DeFi 協議度畀人偷走,都有可能轉化成美國、南韓同日本國防規劃人員喺威脅評估入面會實際建模嘅武器系統物質同技術能力。

聯合國專家小組將 2017 至 2023 年期間嗰 30 億美元嘅盜竊,直接同武器項目融資掛鈎——令區塊鏈安全變成東北亞地區安全計算入面一個實際存在嘅因素。

下一篇: 5 Cheaper Fable 5 Rivals: Don’t Overpay For Daily AI Work

結語

2026 年上半年 66.2% 呢個佔比數字唔只係一個數據花絮。

佢反映緊而家對決嘅狀態:一邊係全球其中一支最強嘅國家級網絡部隊,另一邊係一個歷來偏向優先追求上市速度、多於營運安全嘅行業。

由 2017 年機會式嘅交易所入侵、到 2022 年 Ronin 橋攻破、再到而家同時針對開發者、跨鏈橋同內部人員嘅多向度行動,呢段演變軌跡顯示出嚟嘅係一個威脅行為者:佢會學習、會適應、會擴張,而且速度快過行業防禦投資可以遏止嘅程度。

有利北韓嘅結構性因素,短期內唔會消失。

北韓有一支制度化嘅網絡人手隊伍,冇私營市場誘惑、冇公眾問責壓力,由國家直接下達任何可行手段揾錢嘅任務。

相反,加密行業嘅安全版圖相當分散。最有價值嘅協議防禦愈來愈完善——但長尾嗰堆較細嘅 DeFi 項目,喺資源上係系統性不足。

至於跨鏈橋,作為串連整個生態流動性小島嘅基建,本身喺架構上依然相當複雜,複雜到會長期產生可以畀人利用嘅假設漏洞。

免責聲明及風險提示: 本文資訊僅供教育與參考之用,並基於作者意見,並不構成金融、投資、法律或稅務建議。 加密貨幣資產具高度波動性並伴隨高風險,可能導致投資大幅虧損或全部損失,並非適合所有投資者。 文章內容僅代表作者觀點,不代表 Yellow、創辦人或管理層立場。 投資前請務必自行徹底研究(D.Y.O.R.),並諮詢持牌金融專業人士。