4 月 18 日週六,由 Kelp DAO quietly bled 116,500 rsETH 運行的跨鏈橋開始被悄悄掏空。到了週一,LayerZero had a name for the attackers,而且不是新名字。
北韓的 Lazarus 集團 在加密世界早已不只是「駭客組織」這麼簡單。它是最清楚的例證:國家支持的網路行動,如何把數位資產變成策略性資金管道——在這裡,產業中最大型的入侵事件,看起來越來越不像單一臭蟲,而像是長周期行動戰中的節節敗退。
- LayerZero 將 2026 年 4 月 18 日、價值約 2.92 億美元的 以太幣 (eth) 衍生代幣 Kelp DAO 攻擊事件,歸因於北韓 Lazarus 集團及其 TraderTraitor 小組。
- Chainalysis 指出,2025 年與北韓有關的行動共竊走 20.2 億美元加密資產,累計金額已達 67.5 億美元。
- 這一模式顯示,主導產業安全風險的,不再是零星的智慧合約臭蟲,而是國家支持的作戰行動。
Kelp 攻擊,以及為何「歸因」很重要
LayerZero 在 4 月 20 日的事後檢討中指認,Kelp DAO 被掏空是國家級行動所為。聲明稱這是 2026 年迄今規模最大的 DeFi 攻擊,並點名「高度複雜的國家級行動者,很可能是北韓 Lazarus 集團,特別是 TraderTraitor 單位。」
攻擊機制並非智慧合約臭蟲。攻擊者入侵了 LayerZero 去中心化驗證者網路所使用的兩個 RPC 節點,接著對乾淨節點發動阻斷服務攻擊,逼迫流量切換到被植入惡意程式的節點。
在這種情況下,Kelp 所謂的「1-of-1 驗證者」架構形同橡皮圖章,為詐欺的跨鏈訊息背書,橋接合約於是將 116,500 rsETH 釋放給攻擊者。
Kelp 隨後透過緊急多簽機制暫停核心合約,大約在 46 分鐘後阻斷了兩次後續提款企圖,總額再約 1 億美元。
Kelp 之後公開反駁了 LayerZero 的敘事,表示單一驗證者配置其實符合 LayerZero 文件中的預設設定,並非刻意違反明確建議。
「歸因」讓這起事件不再只是修一修就能翻篇的事故。臭蟲帶來的是修補;國家級行動者帶來的是長期敵手。
延伸閱讀: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Lazarus 究竟是誰
FBI 在 2025 年 2 月 26 日針對 Bybit 竊案的公告中,將 TraderTraitor 集團定位為北韓國家級網路機構的一部分,並點名其是 15 億美元虛擬資產竊案的直接操作者。
路透社 2022 年的報導與美國財政部多次制裁,早已連結 Lazarus、Bluenoroff 與 Andariel,指向平壤主要軍事情報機構——偵察總局。
在這個架構內,分析人員追蹤一組輪替使用的別名:APT38、Hidden Cobra、Diamond Sleet、Jade Sleet、Slow Pisces、TraderTraitor 等,這些集團經常共用人力與基礎設施。
對加密產業而言,結論非常直接。
當一場攻擊被歸因於「Lazarus」時,對手不是在地下室的青少年,也很少是單一外包駭客,而是一支擁有預算、明確任務,以及以「年」為時間尺度的國家單位。
這會改變何謂「可信」的防禦,也會改變在洗錢鏈條終點,究竟是誰真正受益。
延伸閱讀: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
從 Sony 到智慧合約
Lazarus 並非從加密世界起家。它先是在 2014 年 Sony Pictures 清除硬碟攻擊中現身,接著是 2016 年孟加拉央行 SWIFT 竊案,然後是 2017 年的 WannaCry 勒索軟體。
接下來才是加密,而且發展極快。
南韓國家情報院在 2022 年 12 月告訴Associated Press,北韓駭客在五年間共竊取約 12 億美元虛擬資產。
聯合國專家小組報告揭露,2017–2023 年間共有 58 起疑似與北韓有關的網攻,金額約 30 億美元,被用來支應平壤的大規模毀滅性武器計畫。
Chainalysis 最新數據更將累計曲線推高:迄今已辨識出與北韓相關的加密竊盜約 67.5 億美元,其中光 2025 年就有 20.2 億美元。
軌跡本身就是故事。事件數逐年下降,但單一事件規模愈來愈大。隨著產業變得更有錢,標的變大,Lazarus 也同步升級。
延伸閱讀: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
與 Lazarus 有關的最大竊案
美國財政部在 2022 年 Ronin Bridge 被掏空後,更新了針對 Lazarus 的制裁名單,新增與該事件相關的錢包地址,將約 6.25 億美元損失歸因於北韓行動者。
一份精簡清單即可看出規模:
- Ronin Network,2022 年 3 月:Axie Infinity 側鏈橋約 6.25 億美元被掏空,數週後遭美國財政部 OFAC 正式點名歸因於 Lazarus。
- Harmony Horizon,2022 年 6 月:約 1 億美元被盜,2023 年 1 月被 FBI 正式歸因於 Lazarus 與 APT38。
- WazirX,2024 年 7 月:印度交易所多簽被攻陷,約 2.35 億美元被轉走,普遍被認為是北韓相關行動。
接著迎來關鍵年份。
DMM Bitcoin 在 2024 年 5 月遺失 4,502.9 枚 比特幣 (btc),當時價值約 3.08 億美元。FBI、國防部與日本警察廳於 12 月證實該案與 TraderTraitor 有關,描述了以「招募」為主題的社交工程:先入侵錢包軟體供應商,最後操縱提款流程。
Bybit 案則是在 2025 年 2 月達到巔峰。
攻擊者在一次例行冷錢包轉移中偽裝簽名介面,在前端顯示正常的同時,將約 40 萬枚以太幣——約 15 億美元——悄悄導向未知地址。
Chainalysis 現在估計,這一單就占了 2025 年整體產業 34 億美元被竊金額中的 15 億美元。Kelp 的 2.92 億美元,只是最新一章,而不是最喧鬧的一章——這是成熟行動在不再需要「製造聲量」之後的樣貌。
延伸閱讀: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Lazarus 劇本已經變了
FBI 與日本警方在聯合的 DMM Bitcoin 公告中,詳細說明了 Lazarus 最新的攻擊模板。過去那種把 Lazarus 想成只是釣魚郵件工廠的印象,已經過時。
一名駭客假扮 LinkedIn 招募者,透過假「入職測驗」在錢包軟體供應商 Ginco 工程師的個人 GitHub 上植入惡意 Python 腳本。被竊取的 Session Cookie 讓攻擊者進入 Ginco 內部聊天系統,數週後,在合法的 DMM 交易請求傳送途中悄悄改寫內容。
在 Bybit 案中,Safe{Wallet} 證實,遭惡意修改的簽名應用程式在介面上顯示正確目的地址,但在底層偷偷變更智慧合約邏輯。至於 Kelp,LayerZero 表示,攻擊者在驗證者信任的 RPC 節點上替換了可執行檔,並設計成事後自毀、刪除本機紀錄。
共通點在於:程式碼本身很少是唯一弱點。人的行為、供應商、建置流程與基礎設施才是。
Chainalysis 也指出另一條平行管道:北韓行動人員以假身份,滲透成為加密公司遠端 IT 員工,有時還會透過 Upwork、Freelancer 等平台找協力者擴張規模。
延伸閱讀: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
為何 Lazarus 一再回到加密領域
北韓的動機是經濟生存,而非意識形態。
美聯社與聯合國的報導一再指出,加密竊盜已成為這個受制裁經濟體的替代收入來源,並直接資助其飛彈與核武計畫。
美聯社引述的美國官員更進一步估計,網路犯罪如今幾乎占北韓外匯收入的一半。
而加密資產,剛好是這項任務的近乎完美目標。交易在幾分鐘內即具終局性,而不是幾天內完成,沒有往來銀行可以反轉交易。市場流動性深、偽名成本低,跨鏈管道轉移價值的速度,遠遠快於任何執法機構凍結資金的能力。
Yahoo Finance 引述 LayerZero 對 Kelp 的時間軸指出,攻擊者在掏空後約合併了 74,000 枚以太幣,且在行動前約 10 小時,就已經透過 Tornado Cash 為多個錢包預先注資。
對一個政府來說,若要在銀行竊案與橋接協議竊案之間做選擇,跨鏈橋往往是更划算的選項。 every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
鏈上調查員實際新增了什麼
Arkham 在 2025 年 2 月 21 日的懸賞貼文中,將功勞歸於 匿名調查員 ZachXBT,稱其提供了「確切證據」,透過測試交易、關聯錢包與時間序列分析,將 Bybit 被利用事件與 Lazarus 連結起來。
五天之後,FBI 的公共服務公告正式點名北韓,使用 TraderTraitor 標籤並公布錢包封鎖清單。
先後順序很重要。像 ZachXBT 這樣的鏈上偵探,往往是最早在公開領域把重大攻擊和與 Lazarus 有關的錢包及洗錢模式連起來的人,有時甚至早於官方確認。
他們不是最核心的「真相來源」。他們是早期的公開歸因層,能在聯邦機構執行較為緩慢、需符合法證標準的程序時,加速交易所層級的回應。
這種分工是新的。而且是承重結構,因為一旦被盜資金開始在各條鏈之間跳轉,唯一的問題就是地址被標記得夠不夠快。
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
為什麼產業還是打輸這些仗
多數加密安全討論仍然聚焦在程式碼稽核。Lazarus 根本不在乎稽核。
真正重要的攻擊面是營運層。那包括第三方簽章工具、錢包供應商、節點基礎設施、招募管道、建置系統,以及少數擁有特權存取權限的人。過去兩年裡,上述每一項都曾在至少一次與 Lazarus 有關的事件中成為實際攻擊點。
Chainalysis 指出 第二個結構性問題:洗錢周期已被打磨成約 45 天的三波模式,將贓款導入混幣器、跨鏈橋與中文場外交易網路,分批移動,每批金額通常壓在 50 萬美元以下,以避免觸發監控。
產業因應依舊破碎分散。各家交易所把地址列入黑名單的速度不同。有些 DeFi 協議會暫停運作,有些則不會。
事後的一份 Dune 分析發現,有 47% 的活躍 LayerZero OApp 仍在使用 1-of-1 DVN 設定。
防守方得每個禮拜都贏。Lazarus 一季贏一次就夠了。
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Kelp 對下一階段發出的訊號
從 Kelp 得到的讓人不安的結論是:即使經歷了 Bybit,程式碼安全與營運安全之間的落差依然巨大。
Bybit 是簽章介面被入侵,背後有 200 億美元的資產負債表。Kelp 則是對一家中型流動再質押協議發動的基礎設施層攻擊。
同一個攻擊者集群,不同攻擊向量,與稍早同樣被認為與北韓有關、約 2.85 億美元的 Drift Protocol 被盜事件 相隔僅十八天。
這種節奏本身就是重點。Lazarus 演化其攻擊劇本的速度,快過 DeFi 團隊加固其依賴項的速度,而且每一次成功的攻擊,都在為下一輪招募、工具開發與長期潛伏提供資金。
The Hacker News 報導,2025 年全球被盜加密資產中,有 59% 出自與北韓有關的攻擊者,凸顯出這個對手在整體損失中已變得多麼核心。
像單一驗證者設定、未經稽核的節點營運商與共用錢包軟體等配置選擇,不再是次要風險項目。在敵人是國家級對手的世界裡,它們就是主戰場。
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
結論
Lazarus 充分證明,加密領域最大的安全失敗,現已同時是地緣政治、金融與基礎設施層面的問題。
Ronin、Harmony、WazirX、DMM Bitcoin、Bybit,現在再加上 Kelp,並不是一串毫無關聯的意外清單。它們構成了一場行動,由一個遭制裁的政府對一個仍低估持久型國家級對手樣貌的產業所發動的戰役。
下一個 Kelp 已經在規劃之中。問題在於,產業會把它當成一份錯誤回報,還是一條前線。
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Kelp DAO 被駭事件中發生了什麼事?
2026 年 4 月 18 日,攻擊者從 Kelp DAO 所營運的一座跨鏈橋中,抽走了 116,500 枚 rsETH,價值約 2.92 億美元。這次利用並不是針對智慧合約漏洞,而是攻擊者入侵了 LayerZero 去中心化驗證者網路所使用的兩個 RPC 節點,接著觸發故障轉移,讓一個中毒節點為一筆造假的跨鏈訊息背書。Kelp 的緊急多簽在 46 分鐘後暫停核心合約,攔下了兩次後續企圖,總金額約再多 1 億美元。
Lazarus 集團是什麼?
Lazarus 是對與北韓國家力量有關的網路攻擊者的總稱,依據美國財政部與 FBI 的說法,其隸屬於平壤的主要軍事情報機構──偵察總局(Reconnaissance General Bureau)。分析人士在這個傘狀架構下追蹤到多個子集群與別名,包括 TraderTraitor、APT38、Bluenoroff、Andariel、Hidden Cobra、Diamond Sleet、Jade Sleet 與 Slow Pisces。這些集群經常共用基礎設施與人力。
為什麼 LayerZero 把 Kelp 被攻擊歸因於 Lazarus?
LayerZero 的事後檢討指出,攻擊者的作案手法與錢包行為具備國家級行為者的典型特徵,特別是 Lazarus 旗下的 TraderTraitor 子單位。攻擊前約十小時,透過 Tornape Cash 預先注資、在被攻陷的基礎設施上使用自我毀損的二進位檔,以及事後將約 74,000 枚以太幣集中,這些模式都與先前被認為與北韓有關的攻擊案例相符。
北韓總共偷了多少加密貨幣?
Chainalysis 指出,迄今與北韓有關的加密竊盜總額約為 67.5 億美元。其中,單在 2025 年就竊取了 20.2 億美元,約占當年全球被盜加密資產總額的 59%。南韓國家情報院較早前的報告則估計,直到 2022 年為止的五年期間,總額約為 12 億美元;而聯合國專家小組則調查了 2017 至 2023 年間 58 起疑似北韓網路攻擊事件,金額約 30 億美元。
什麼是 TraderTraitor?
TraderTraitor 是 Lazarus 旗下專攻加密產業目標的子集群。它的代表性手法是對技術人員進行社交工程,包括在 LinkedIn 上假冒獵頭發送招募訊息、夾帶惡意軟體的職前測驗,以及入侵錢包軟體供應商或簽章基礎設施。FBI、國防部與日本警察廳在 DMM Bitcoin 3.08 億美元被盜事件中正式點名 TraderTraitor,FBI 之後又在 15 億美元的 Bybit 竊案中再度將其列為主謀。
與 Lazarus 有關的最大加密駭案有哪些?
目前已公開歸因的重大事件包括:2022 年 3 月的 Ronin Network,約 6.25 億美元;2022 年 6 月的 Harmony Horizon,約 1 億美元;2024 年 7 月的 WazirX,約 2.35 億美元;2024 年 5 月的 DMM Bitcoin,約 3.08 億美元;2025 年 2 月的 Bybit,約 15 億美元;以及 2026 年 4 月的 Kelp DAO,約 2.92 億美元。
Lazarus 是如何洗白被盜加密資產的?
Chainalysis 描述了一個被精煉成約 45 天、三波段的洗錢周期。被盜資金會經過混幣器、跨鏈橋與中文場外交易網路,並被切割成多個金額通常低於 50 萬美元的批次,以避免觸發監控門檻。其目標是在資金抵達套現管道前,搶在交易所黑名單與鏈上分析反應之前完成洗出。
為什麼北韓會鎖定加密資產?
根據聯合國專家小組的報告,以及美聯社引用的美國官員說法,加密竊盜是平壤這個孤立經濟體用來規避制裁的收入來源之一,同時也是其彈道飛彈與核計畫的直接資金來源。美方估計,網路犯罪現在已占北韓外匯收入將近一半。加密支付軌道適合這項任務,因為交易在數分鐘內就能最終結算,且無法被代理銀行逆轉。
ZachXBT 是誰,他扮演了什麼角色?
ZachXBT 是一名匿名的鏈上調查員,他在公開場合所做的歸因工作,屢次早於政府正式確認。在 Bybit 案中,Arkham 於 2025 年 2 月 21 日的懸賞貼文中,將透過交易關聯分析把該事件連結到 Lazarus 的功勞歸於他,比 FBI 正式點名北韓早了五天。像 ZachXBT 這樣的鏈上偵探,構成了一層早期的公開歸因機制,並非聯邦調查人員的替代品,但在交易所層級的回應速度上較快。
加密產業能阻止 Lazarus 嗎?
光靠程式碼稽核不行。真正關鍵的攻擊面在營運層,包括第三方簽章工具、錢包供應商、節點基礎設施、招募管道與建置系統。Dune 在 Kelp 事件後的分析顯示,47% 的活躍 LayerZero OApp 仍採用 1-of-1 驗證者配置,而這正是讓 Kelp 被利用得以發生的組態。要在防禦上取得進展,現在必須把重點放在這一層:涵蓋供應商、基礎設施託管方與人的存取權限。
現在使用 Kelp DAO 還安全嗎?
Kelp 透過其緊急多簽暫停了核心合約multisig 在偵測後 46 分鐘內啟用,阻止了另外兩次掏空嘗試。使用者在恢復活動前,應該先查看 Kelp 和 LayerZero 的官方事件通報管道,以了解目前合約狀態、任何資金恢復或補償方案,以及更新後的驗證器設定。
Lazarus 和 TraderTraitor 有什麼差別?
Lazarus 是一個總稱。TraderTraitor 是該總稱之下的一個專門子集群,專門鎖定加密貨幣產業目標,並以對工程師和錢包軟體供應商進行社交工程而聞名。當 FBI 將某次攻擊明確歸因於 TraderTraitor 時,它指的是具體的行動單位,而不僅是更廣泛、與國家相關的整體生態系。