2026 年上半年,全球加密貨幣生態系中,每被偷走 1 美元,就有三分之二落入同一個國家行為體手中。
這不是四捨五入的誤差,也不是某一場驚天大案的特殊例子。
這是近十年來持續進化的工業化駭侵行動的結果——一套如今單獨就超越整個產業內所有其他威脅行為者總和的攻擊機器。
即便以向來「數字誇張」聞名的加密犯罪標準來看,這樣的規模仍然相當驚人。
根據本週區塊鏈資安研究人員流傳的數據,與北韓相關的團體在 2026 年上半年,便占據了全球數位資產駭侵損失的 66.2%。
單一威脅集群就集中這麼高比例的損失,代表整個產業風險輪廓正發生質變。而這一切發生的時間點,正好是機構資本以 2021 年以來最快的速度重新湧入加密市場。
重點摘要(TL;DR)
- 與北韓相關的駭客在 2026 年上半年奪走 66.2% 的所有加密駭侵損失,創下國家級資助加密竊盜集中度的新高峰。
- 「拉撒路集團」(Lazarus Group)與相關的北韓單位,已從早期機會型的交易所駭侵,進化為高度結構化的行動,鎖定 DeFi 協議、跨鏈橋,以及對開發者進行社交工程。
- 這些資金直接資助北韓的武器計畫,使加密資安成為地緣政治議題,華府、布魯塞爾與首爾的監管機關正以高度急迫性看待。
66% 這個數字的意義與衡量方式
在分析整體戰略之前,這個數字背後的方法論本身就值得檢視。
66.2% 指的是 2026 年上半年,經證實的加密駭侵總損失中,可歸因於與北韓(DPRK)相關錢包的占比——透過鏈上鑑識,從最初竊取開始,追蹤資金流經混幣服務到最終出場。
發布加密犯罪縱向數據最完整的 Chainalysis 在其 2024 年犯罪報告中指出,北韓相關團體在 2023 年透過 47 起事件大約盜取 13.4 億美元——占當年加密竊盜總額的 61%。
2026 年上半年的數字顯示集中度進一步提高,意味著北韓與其他威脅行為者之間的能力落差正在擴大,而非縮小。
這 66.2% 的占比,是迄今單一六個月期間內,有記錄以來國家級資助數位資產竊盜的最高集中度。
同時也必須了解 66% 這個數字「沒有」涵蓋什麼。
它排除了退出詐騙(exit scam)、地毯拉盤(rug pull)與一般詐欺——這些通常在 Chainalysis 的分類中與「駭侵」分開計算。分母僅限於經證實的駭侵損失。
若將所有類型的加密犯罪納入,北韓的百分比占比會下降,但實際被偷走的美元總額並不會因此減少。
延伸閱讀: XRP 現貨需求上升,但幣安永續合約閃現 7.83 億美元警訊
拉撒路集團如何成為加密「超級強權」
拉撒路集團(Lazarus Group)——美國情報機構與民間研究人員對最具能力的北韓網攻單位所給的統稱——一開始並非以加密貨幣為主要目標。
其早期行動側重破壞性攻擊、透過 SWIFT 網路利用進行銀行竊盜,以及勒索軟體。
向加密領域的轉向是漸進發生的。大約在 2017 年起,該集團開始鎖定南韓交易所,並在 2022 年 Ronin Network 被攻擊後急遽升級。
Ronin 駭案中,拉撒路集團從 Axie Infinity 側鏈竊取了約 6.25 億美元,成為戰略上的轉折點。
該事件顯示,與其說是已在十年駭侵後大幅強化防禦的中心化交易所,還不如說是 DeFi 基礎設施更為肥沃:智慧合約的複雜性、跨鏈橋依賴關係,以及開發者被社交工程攻擊的脆弱性,構成了更具利潤的攻擊面。
這起 2022 年 3 月的 6.25 億美元竊案,迄今仍是最大宗的 DeFi 駭侵事件,也成為後續北韓加密行動的操作範本。
自 2022 年以來,該集團持續精煉三條主要攻擊路徑。
第一條是竊取開發者憑證——典型手法是偽裝成 LinkedIn 高薪挖角,當目標開啟檔案或執行程式庫時植入惡意軟體。
第二條是跨鏈橋漏洞利用,直接攻擊負責驗證跨鏈資產轉移的智慧合約邏輯。
第三條是針對加密協議使用的軟體依賴進行供應鏈攻擊——這本來是傳統資安領域中廣為人知的技巧,如今被改裝用於區塊鏈目標。
延伸閱讀: 英格蘭對印度已不只是板球比賽,對預測市場交易者更是戰場
攻擊目標從交易所轉向 DeFi
早期大型加密駭案的歷史,是由中心化交易所被攻陷所寫下:2014 年的 Mt. Gox、2016 年的 Bitfinex、2018 年的 Coincheck。這些攻擊多半透過入侵熱錢包基礎設施、利用 API 漏洞,或收買內部人員。行兇者通常是機會型的犯罪集團,而非擁有制度化後勤支援的國家級行為者。
現在的北韓劇本則完全不同。TRM Labs 在其 2024 Crypto Threat Intelligence 報告中指出,北韓加密竊盜中由 DeFi 協議漏洞(而非中心化交易所駭侵)所造成的占比,從 2021 年約 30% 升至 2024 年超過 70%。這一變化與鏈上流動性的成長軌跡高度同步。
全球 DeFi 協議的總鎖倉價值(TVL)在 2021 年底一度突破 1800 億美元,之後在 2022 年熊市大幅回落,如今又回升到再度吸引攻擊者目光的水準。根據 DefiLlama 截至 2026 年中旬的數據,所有鏈的 DeFi TVL 超過 1100 億美元,其中跨鏈橋以資金池形式控制了不成比例的高額價值。
對於高度成熟的攻擊者而言,DeFi 橋接合約在結構上就是理想目標:它們將巨量流動性集中在單一智慧合約中,卻又必須處理難以完整稽核的複雜跨鏈訊息驗證邏輯。
跨鏈橋之所以成為北韓單位特別著迷的目標,在於其獨特的風險拓樸。橋接合約必須信任來自遙遠鏈上的斷言,而無法原生驗證。驗證邏輯通常依賴多重簽章委員會或輕客戶端證明,兩種作法都建立了可被利用的假設。Ronin 橋原本使用九人全簽的多重簽章機制,卻被社交工程實際削弱為五人門檻。攻擊者取得這五份簽章後,便能合法授權提款,將橋上的資金洗劫一空。
延伸閱讀: 當 Opus 4.8 仍有好表現時,Fable 5 值得多付一倍價格嗎?
假工作邀請與開發者鎖定攻擊手法
北韓在 2026 年上半年行動中,最穩定卻也最被低估的一環,是其針對個別開發者與協議員工所建立的社交工程基礎設施。這嚴格來說並不是傳統意義上的「技術駭侵」,而是一場耐心經營關係的情報行動,最終才以惡意程式執行作結。
標準劇本已被 Mandiant 在其 APT38 金融威脅分析以及美國 網路安全暨基礎設施安全局(CISA) 在 CISA Alert AA22-108A 中詳盡記錄:北韓人員會在 LinkedIn 上建立高度可信的專業檔案,常搭配 AI 生成的大頭照。他們接觸在加密協議工作的開發者,開出合約工作機會、面試邀請,或要求協助代碼審查。
在有紀錄的案例中,北韓行動人員會與目標開發者在 LinkedIn 上維持數週甚至數月關係,透過對目標實際代碼庫展現技術上可信的對談一步步建立信任,之後才送達惡意載荷。
當目標回應並互動後,攻擊者最終會傳送必須執行的檔案:可能是嵌入惡意程式的 PDF、含有惡意依賴的 GitHub 儲存庫,或是會植入後門的假技術測驗。一旦攻擊者在開發者機器上取得立足點,就能竊取私鑰、協議內部系統的工作階段權杖,以及用於管理協議部署的雲端基礎設施憑證。
這種作業技藝的成熟度,反映出一種私營犯罪集團難以複製的體制性能力投資。北韓網攻單位成員是全職國家公務員,接受長期訓練,在嚴格的作戰安全紀律下運作,並累積了多年關於「哪些協議最脆弱、哪些開發者最容易接近」的制度化知識。
延伸閱讀: TeraWulf 股價跳升,與 Anthropic 的合作讓比特幣礦商轉向 190 億美元 AI 版圖
竊盜數字背後的洗錢基礎設施
竊取加密貨幣只是第一步。要把這些資產轉換成政權可用的收入,需要一條精密的洗錢鏈條,而這本身已成為鏈上研究的重點領域。事後資金流向往往是調查人員最可靠的北韓歸因依據,因為該集團在這部分展現出具有辨識度的行為模式。 資金移動與掩護方式的模式。
Chainalysis 將標準的北韓(DPRK)洗錢流程記錄為一個多階段過程。被盜資產首先透過鏈上去中心化交易所換成 以太幣 (ETH) 或 比特幣 (BTC),把流動性差、只屬於特定協議的代幣轉換成流動性更高的資產。這些資產接著會流經混幣服務,該集團過去主要使用 Tornado Cash,但在其於 2022 年 8 月遭 OFAC 制裁後,被迫改用其他混淆工具,包括 Sinbad 和 Yomix,而這兩者此後也都遭到美國制裁。
OFAC 於 2023 年 11 月指定 Sinbad Mixer,並於 2025 年 4 月指定 Yomix Mixer,呈現出一種貓捉老鼠的動態:每一個 DPRK 的洗錢工具最終都會面臨制裁行動,迫使該集團轉往新的基礎設施。
混幣之後,資金會透過一個巢狀交易所帳戶網路、中介在缺乏有效 AML 執法司法管轄區運作的場外(OTC)經紀商,以及點對點平台進行路由。最常見的最終出金管道,歷來是位於東亞與東南亞、KYC 執行鬆散的交易所。2024 年 聯合國專家小組 一份關於北韓的報告明確指出,加密貨幣竊盜所得是 DPRK 彈道飛彈計畫的主要資金來源,估計加密收入約為大規模毀滅性武器研發外匯需求的 40%。
延伸閱讀:Ethereum Could Go Near-Zero State Under Buterin’s Most Radical Lean Chain Plan
監管回應及其侷限
美國政府對 DPRK 加密行動已動用相當完整的工具組,包括對錢包與混幣服務的 OFAC 指定、FBI 對特定駭客事件的歸屬公告,以及與盟國情報機構的聯合通告。司法部已起訴多名具名的 DPRK 幹員,但在缺乏引渡管道的情況下,實際起訴審判幾乎不可能。
美方回應的限制是結構性的。對錢包地址的制裁只對使用受監管金融基礎設施作為出金管道的行為者有效;對那些能透過美國 AML 觸及範圍之外司法管轄區進行路由的成熟行為者效果有限。對 Tornado Cash 的 OFAC 行動意義重大且具爭議,但 DPRK 在數月內便適應,轉移到其他基礎設施。
司法部已就加密竊盜行動起訴了七名具名 DPRK 軍方駭客,但無人接受審判。這些起訴主要作為歸屬工具,以及對可能協助資金運動的第三方服務提供威懾。
跨政府 AML 標準制定機構 金融行動工作組(FATF) 已將北韓提升至最高風險類別,並持續呼籲成員司法管轄區對任何與 DPRK 有關聯的交易採取強化盡職調查。但 FATF 建議並無拘束力,而對 DPRK 最有用的出金司法管轄區通常不是 FATF 成員,或是雖為成員但執行紀錄薄弱。
歐盟於 2024 年底全面生效的 加密資產市場監管規則(MiCA),納入「旅行規則」,要求對超過一定門檻的加密轉帳進行交易對手身分識別。支持者認為這關閉了部分 OTC 出金管道。批評者則指出,DPRK 的行動已足夠成熟,可以透過未託管錢包以及不在歐盟管轄範圍內的司法管轄區繞過 KYC 要求。
延伸閱讀:Meta’s Muse Image Turns Instagram Into The Raw Material For AI Art
鏈上鑑識實際顯示了什麼
將加密竊盜歸因於北韓並非政治主張,而是基於可驗證的鏈上資料,任何取得公共區塊鏈資料與錢包聚類工具的研究人員都能獨立重現。理解這種歸因方式,對評估其可信度至關重要。
當 DPRK 從某個協議竊取資產時,初始交易會立即在鏈上可見。被盜資金會移入攻擊者控制的錢包,接著這些錢包會執行一連串兌換、跨鏈橋交易與混幣操作。另一家區塊鏈分析公司 Elliptic 已發表詳細方法論,顯示 DPRK 錢包會聚集在一些行為特徵周圍,包括特定時間模式、偏好的兌換路徑、中間錢包中留下的特徵性「粉塵」餘額,以及傾向長時間將被盜資金停留在錢包集群中才再移動。
Elliptic 的錢包聚類分析已識別出超過 15,000 個與 DPRK 竊盜行動相關的地址,形成一張互相連結的錢包圖譜,供鑑識分析師用於在混幣之後仍持續追蹤資金流向。
FBI 對特定駭客事件(包括 Alphapo 入侵與 2023 年 Atomic Wallet 漏洞利用)的歸屬公告,是基於這套鑑識方法,並結合機密通訊情報。
公共鏈上資料與政府情報的結合,使歸因的信心程度超過傳統網路犯罪調查中常見的水準,因為在那些案件中並不存在鏈上證據。
延伸閱讀:Saylor Says 3.3% Bitcoin Growth Can Keep Strategy Dividends Alive
IT 工作者計畫:平行的收入管道
與駭客行動分開,DPRK 還運作一套平行的加密收入計畫,於 2024 和 2025 年受到重大執法關注。數千名北韓國民,以 AI 生成文件與深偽影片技術打造的假身分,在北美與歐洲的加密公司及 Web3 新創中取得遠端工作。
司法部於 2024 年 5 月起訴十四人,指控其運作一套計畫,將北韓 IT 工作者安插進超過 300 間美國公司,並將所得資金匯回 DPRK。
起訴書指稱,個別工作者每年收入介於 25 萬至 30 萬美元之間,整體計畫在數年間累積產生數千萬美元。
司法部 2024 年 5 月的起訴書記錄,北韓 IT 工作者在美國加密與科技公司每人每年可賺取高達 30 萬美元,並透過分布於美國、英國與中國的中介人網絡將資金匯回 DPRK。
對加密產業而言,IT 工作者計畫格外險惡,因為它在開發團隊內部植入了內線存取。有著合法憑證與儲存庫存取權的 IT 工作者,比試圖攻破邊界防線的外部攻擊者更具威脅性。
數名安全研究人員已指出,程式碼提交中的可疑模式、無法解釋的儲存庫存取,以及異常的工作時段,如今都被安全意識較高的加密公司視為潛在 DPRK IT 工作者指標。
IT 工作者計畫與開發者社交工程攻擊活動的交集,意味著 DPRK 對加密產業的攻擊面是多維度的:外部駭客、因假求職機會而遭到妥協的開發者,以及預先安插的內部人員,三者同時構成活躍威脅向量。
延伸閱讀:OpenAI Wins GPT-5.6 Approval As Trump Clears Wider AI Rollout
更廣泛的產業安全回應
產業對 DPRK 威脅的回應實質但不均衡。
資源最充足的協議如今會在部署前進行廣泛的安全審計,運作獎金達六位數美元的漏洞賞金計畫,並維持擁有進攻性研究背景的內部安全團隊。
這種安全投資集中於頂層協議的情形,反映了支配加密產業的一般冪律分佈。
領先的 Web3 漏洞賞金平台 Immunefi 報告稱,截至 2025 年中,總賞金支付已超過 1 億美元——協助發現的漏洞原本可能導致數十億美元的潛在損失。
其歷來最大單筆獎金,是向一名白帽研究員支付 1,000 萬美元,因其在某大型 DeFi 協議遭利用前發現了關鍵缺陷。
但這種安全支出集中於頂級協議的情形,使得規模較小的 DeFi 專案——即便合計仍掌控數十億美元 TVL——明顯缺乏保護。
橫跨多鏈橋的問題位於眾多重大駭客事件的核心,也催生了相應的架構性回應。
其中最重要的是朝向更「信任最小化」橋接的轉變,使用零知識證明在不依賴驗證者委員會的情況下驗證來源鏈狀態。
包括 Succinct Labs 與 Polyhedra Network 在內的專案,已建立專門設計用來消除「可信委員會」假設的 ZK 輕客戶端基礎設施,而該假設正是讓像 Ronin 這類橋接協議得以被利用的原因。
Whether要說安全基礎設施的改進速度已經快到足以超前北韓能力發展,其實相當不確定。
2026 年上半年達到 66% 的占比顯示,即便產業已投入大量資本,攻擊者仍然能跟上腳步。
Also Read: SpaceXAI Wants A Cursor-Powered Claude Killer Before The $60B Deal Even Closes
地緣政治利害關係與後續發展
加密貨幣竊取是北韓最重要的硬通貨來源。
這不是誇飾的修辭,而是有文件佐證的作業現實——且已被美國財政部、聯合國及盟國情報機關所承認。
聯合國專家小組估計,北韓在 2017 至 2023 年間透過加密貨幣竊取所得約 30 億美元,且之後幾年的步調仍在加快。
這些資金並非以任何傳統意義流入政權的國庫。
它們直接注入武器計畫——特別是彈道飛彈與核彈頭小型化這些被平壤視為首要戰略優先事項的領域。
每一美元從 DeFi 協議中被竊,潛在上都會轉化為武器系統的實質與技術能力,而美國、南韓與日本的國防規劃人員在威脅評估中都會主動對此進行建模。
聯合國專家小組將 2017 至 2023 年間那 30 億美元的竊取,直接連結到武器計畫資金來源——使區塊鏈安全成為東北亞區域安全盤算中的一項即時變數。
Read Next: 5 Cheaper Fable 5 Rivals: Don’t Overpay For Daily AI Work
最後的思考
2026 年上半年 66.2% 的占比數字不是單純的資料趣聞。
它反映出目前這場對決的狀態:一方是全球最具能力的國家級網攻計畫之一,另一方則是歷來傾向優先追求產品上市速度而非作業安全的產業。
這場對決的軌跡——從 2017 年機會型的交易所駭侵、2022 年的 Ronin 跨鏈橋漏洞,一直到如今同時鎖定開發者、跨鏈橋與內部人員的多向度攻勢——呈現出一個威脅行為者的樣貌:學習、適應與擴張的速度,都快過產業在防禦投資上的應對能力。
那些結構性上有利於北韓的因素,在短期內不會消失。
北韓擁有體制化的網路作戰人力編制,沒有私部門的挖角誘惑、沒有公共問責機制,並且接受國家授權,可以用任何可行手段創造收入。
相較之下,加密產業的安全版圖相當分散。最有價值的協議防禦越來越嚴密——但長尾的中小型 DeFi 專案仍然在系統性地資源不足。
而作為串聯整個生態系流動性島嶼的跨鏈橋,其基礎架構在設計上依舊極度複雜,形成持續存在、可被利用的假設與漏洞。





