2026 年上半年,全球加密生态系统中每被盗走一美元,就有接近三分之二落入同一个国家级行为体之手。
这既不是统计上的四舍五入误差,也不是某一场惊天大劫案的“异常值”。
这是一个持续运作、工业化的黑客行动的产物——它已经花了近十年时间不断打磨手法,如今在整个领域的威胁规模上,超过了所有其他攻击者的总和。
即便以加密犯罪一向“数字惊人”的标准来看,这个规模依然令人错愕。
据本周流传的区块链安全研究数据,与朝鲜有关的组织在 2026 年上半年占据了全球数字资产黑客损失的 66.2%。
如此大比例的损失集中在单一威胁集群之中,标志着整个行业风险画像发生了质变。而这一切发生之时,机构资金正以自 2021 年以来最快的速度涌入加密市场。
要点速览
- 与朝鲜有关的黑客在 2026 年上半年拿下全部加密黑客损失的 66.2%,标志着国家级加密盗窃集中度创下新高。
- “拉撒路组织”和其他隶属朝鲜的单位,已从早期“捡漏式”交易所攻击,进化为高度结构化的行动,专门瞄准 DeFi 协议、跨链桥与开发者社工攻击。
- 这些资金直接为朝鲜的武器项目提供融资,使加密安全问题上升为地缘政治议题,华盛顿、布鲁塞尔和首尔的监管机构正紧急应对。
“66%”这个数字到底在量化什么?
在分析战略格局之前,这个数字背后的方法论本身就值得仔细审视。
所谓 66.2%,指的是 2026 年上半年,经核实的全部加密黑客损失中,可归因于与朝鲜(DPRK)相关钱包的占比——依据的是链上取证,对资金从初次被盗,到流入混币工具,再到最终“出场”全过程的跟踪。
Chainalysis 在其发布的加密犯罪长期序列数据中,在 2024 年犯罪报告里指出,2023 年与朝鲜相关的组织在 47 起事件中共盗走约 13.4 亿美元,占当年盗窃总额的 61%。
2026 年上半年的数字意味着进一步集中。这表明,朝鲜与其他威胁行为体之间的能力差距正在扩大,而非缩小。
66.2% 的份额,是在单一半年周期内有记录以来最高的国家赞助型数字资产盗窃集中度。
需要强调的是,这个 66% 数字同样“没有”涵盖的部分。
它不包括“项目方跑路”“拉地毯”和诈骗——Chainalysis 通常将这些与“黑客攻击”分开统计。这里的分母仅限于经核实的黑客损失。
如果把所有类别的加密犯罪都算进去,朝鲜的百分比占比会降低。但这并不会改变其绝对盗取金额的规模。
延伸阅读:XRP 现货需求上升,而币安合约释放 7.83 亿美元预警
拉撒路组织如何成为加密超级力量
拉撒路组织(Lazarus Group) 是美国情报机构和私人研究机构对若干最具能力的朝鲜网络单位使用的统称,它一开始并不是围绕加密资产展开行动的。
其早期画像包括破坏性攻击、通过 SWIFT 网络实施银行盗窃,以及勒索软件等。
转向加密资产是一个渐进过程。真正意义上的转折点大约在 2017 年,当时该组织开始瞄准韩国交易所——而在 2022 年 Ronin Network 被攻破之后,这一策略急剧升级。
Ronin 攻击中,拉撒路组织从 Axie Infinity 侧链盗走约 6.25 亿美元,这一事件堪称战略拐点。
它显示出:与其攻击已在十年攻击洗礼中大幅加固防御的中心化交易所,不如转向 DeFi 基础设施——那里有复杂的智能合约、有对跨链桥的依赖,还有开发者在人性上的社工漏洞,更是一个利润远高于传统目标的攻击面。
这笔发生在 2022 年 3 月、数额高达 6.25 亿美元的盗窃案,至今仍是单笔规模最大的 DeFi 黑客事件,也成为后续朝鲜加密行动的作战模板。
自 2022 年以来,该组织系统性地打磨了三条主要攻击路径。
第一条是攻陷开发者凭证——通常通过伪装成 LinkedIn 上的高薪工作机会,在受害者打开文档或运行仓库代码时植入恶意软件。
第二条是跨链桥漏洞利用,针对的是验证跨网络资产转移的智能合约逻辑。
第三条是对加密协议所使用软件依赖的供应链攻击——这是从传统网络安全领域“移植”过来的手法,如今被改造用来锁定区块链目标。
攻击目标画像:从交易所转向 DeFi
早期几次载入史册的大型加密黑客事件,几乎都发生在中心化交易所:2014 年的 Mt. Gox、2016 年的 Bitfinex、2018 年的 Coincheck。这些攻击多半是通过攻破热钱包基础设施、利用 API 漏洞或收买内部人员来完成,作案者往往是机会主义的犯罪团伙,而非背后有体制支撑的国家级行为体。
目前朝鲜的剧本则完全不同。TRM Labs 在其《2024 加密威胁情报》报告中指出,2021 年,朝鲜加密盗窃中可归因于 DeFi 协议漏洞的部分只占三成左右,到 2024 年这一比例已超过 70%。这一变化与链上流动性的增长高度吻合。
全球 DeFi 协议的总锁仓价值(TVL)在 2021 年底一度攀升至 1800 亿美元以上,随后在 2022 年熊市中大幅回落,此后又回升到一个再度“足够诱人”的目标规模。根据 DefiLlama 截至 2026 年年中的数据,全链 DeFi TVL 已超过 1100 亿美元,其中跨链桥合约以资金池形式掌控了不成比例的大额资产。
对成熟攻击者而言,DeFi 桥合约具有结构性吸引力,因为它们将大规模流动性集中在单一智能合约中,同时还依赖复杂的跨链消息验证机制,而这些机制极难做到完全可审计。
对朝鲜攻击单位来说,跨链桥之所以成为“专项研究对象”,正是因为其独特的风险拓扑。桥合约必须信任来自一个它无法原生验证的远端链上的断言,其验证逻辑通常依赖多签委员会或轻客户端证明。无论哪种方案,都会引入可被利用的假设前提。Ronin 桥采用的是 9-of-9 多签结构,结果在社工攻击下实质上被降格为 5-of-9;当攻击者掌控五个签名时,即可授权转账,抽干整个桥上的资产。
延伸阅读:当 Opus 4.8 依然能打,Fable 5 是否值得翻倍价?
“虚假高薪 Offer”向量与开发者定向打击
在朝鲜 2026 年上半年的整个攻击行动中,最持续、也最被低估的一环,是其针对个体开发者和协议员工的社交工程基础设施。这在传统意义上并不是一场“技术黑客”——而是一场耐心的、以关系为核心的情报行动,只不过最终落点是代码执行。
标准剧本已在 Mandiant 的 APT38 金融威胁分析以及美国 网络安全与基础设施安全局(CISA) 的 AA22-108A 预警通告中被详细记录:朝鲜行动人员会在 LinkedIn 上建立看似专业可信的个人档案,往往配有 AI 生成的头像。他们主动添加在加密协议工作的开发者,抛出外包合约、高薪跳槽机会或“帮忙做代码审查”的邀请。
在部分有据可查的案例中,朝鲜行动人员会与目标开发者在 LinkedIn 上维持数周甚至数月的互动,期间围绕目标特定代码库展开技术上足够专业的讨论,借此不断积累信任,直到最终递送恶意载荷。
一旦目标开始真正配合,对方最终会发送一个需要“执行”的文件。这可能是内嵌载荷的 PDF、一个包含恶意依赖的 GitHub 仓库,或是一个伪造的技术测试题脚本,一旦运行就会在机器上安装后门。一旦攻击者在开发者设备上取得立足点,他们就可以窃取私钥、内部系统的会话令牌,以及管理协议部署所使用云基础设施的凭证。
这种“技战术”的成熟度,反映出一种体制化能力建设的投入,这是任何私人犯罪团伙难以复制的。朝鲜网络部门成员是全职国家雇员,接受系统训练,遵守严格的行动安全规范,并在多年的行动中积累了大量关于“哪些协议最脆弱、哪些开发者最容易接近”的体系化经验。
延伸阅读:TeraWulf 股价飙升:与 Anthropic 的交易如何将比特币矿企重塑为 190 亿美元 AI 玩家
推动这些数字的洗钱基础设施
盗走加密货币只是第一步。要将其转化为政权可用的收入,需要一条复杂的洗钱链路,而这本身已经成为链上研究的重点。被盗资金在事后如何流转,正是调查人员最可靠地将攻击归因于朝鲜的关键环节之一,因为该组织在这一阶段展现出一系列可识别的行为模式。 模式体现在其转移和隐匿资金的方式上。
Chainalysis 记录 了典型的朝鲜(DPRK)洗钱流程,将其描述为一个多阶段过程。被盗资产首先通过链上的去中心化交易所兑换为 以太坊 (ETH) 或 比特币 (BTC),将协议特定的非流动性代币转换为更具流动性的资产。随后,这些资产会流入混币服务;该组织过去主要使用 Tornado Cash,但在 2022 年 8 月该服务被 OFAC 制裁后,被迫转向包括 Sinbad 和 Yomix 在内的替代混淆工具,而这两者此后也遭到美国制裁。
OFAC 分别于 2023 年 11 月和 2025 年 4 月将 Sinbad 和 Yomix 混币器列入制裁名单,这体现了一种“猫捉老鼠”的动态:每一种被朝鲜用作洗钱工具的基础设施最终都会面临制裁,从而迫使其转向新的设施。
混币之后,资金会通过一张复杂网络流转,其中包括嵌套的交易所账户、位于反洗钱监管薄弱司法辖区的场外经纪商,以及点对点平台。最终的资金出入口历来多为东亚和东南亚地区 KYC 执行不严格的交易所。联合国 专家小组 在 2024 年的一份报告中明确指出,加密货币盗窃收益是朝鲜弹道导弹项目的主要资金来源之一,估算加密货币收入约为其大规模杀伤性武器研发外汇需求的 40%。
延伸阅读:以太坊或在 Buterin 最激进的精简链计划下进入近零状态
监管应对及其局限
美国政府针对朝鲜加密活动部署了一整套有力工具,包括将钱包和混币服务列入 OFAC 制裁名单、由 FBI 对具体黑客事件发布溯源通告,以及与盟国情报机构联合发布风险提示。司法部(Department of Justice) 已经起诉了多名具名的朝鲜行动人员,但在缺乏引渡渠道的情况下,实际审判几乎不可能实现。
美国应对措施的局限是结构性的。对钱包地址实施制裁,只对使用受监管金融基础设施作为出入口的参与者有效。对于那些刻意通过美国反洗钱触角之外司法辖区进行路径设计的高水平行为人,则几乎无效。针对 Tornado Cash 的 OFAC 行动具有标志性且备受争议,但朝鲜仅在几个月内便完成适应,迁移至其他基础设施。
司法部已经以加密盗窃活动为由起诉了 7 名具名的朝鲜军方黑客,但无人真正接受审判。这些起诉书的主要功能在于归因标记,并对可能协助资金流转的第三方服务形成威慑。
政府间反洗钱标准制定机构 金融行动特别工作组(FATF) 已将朝鲜提升至最高风险类别,并持续呼吁成员司法辖区对应任何与朝鲜有关的交易实施强化尽调。但 FATF 的建议不具法律约束力,而对朝鲜而言在资金出入口方面最有用的司法辖区,要么并非 FATF 成员,要么即便是成员,其标准落实记录也很差。
欧盟的 《加密资产市场监管条例》(MiCA) 于 2024 年底全面生效,其中包含“旅行规则”要求,对超过一定门槛的加密转账必须识别交易对手身份。支持者认为,这封堵了部分场外交易的出金通道。批评者则指出,朝鲜的运作足够复杂,可以通过自托管钱包以及欧盟司法管辖范围之外的地区绕开 KYC 要求。
延伸阅读:Meta 的 Muse Image 将 Instagram 变成 AI 艺术原料库
链上取证实际揭示了什么
将加密盗窃归因于朝鲜,并非政治表态,而是基于可验证的链上数据,任何拥有公开区块链数据和钱包聚类工具的研究人员都可以独立复现。理解这套归因方法,对于评估其可信度至关重要。
当朝鲜从某个协议中盗取资金时,最初的攻击交易会立即在链上可见。被盗资金流入攻击者控制的钱包,随后执行一系列兑换(swap)、跨链桥转移以及混币操作。另一家区块链分析公司 Elliptic 已公布 其详细方法论,显示朝鲜相关钱包会围绕一些行为特征形成聚类,包括特定的时间模式、偏好的兑换路径、中间钱包中留下的特征性“尘埃”余额,以及倾向于在同一钱包集群中长期停放被盗资金后再进行转移。
Elliptic 的钱包聚类分析已经识别出超过 15,000 个与朝鲜盗窃行动相关的地址,构建出一个相互关联的钱包图谱,链上取证分析师可据此在资金经过混币之后继续追踪其流向。
FBI 对一些具体攻击事件(包括 Alphapo 入侵和 2023 年 Atomic Wallet 漏洞利用)的归因通告,即是在这套链上取证方法的基础上,结合机密信号情报做出判断。
公开链上数据与政府情报的结合,使得这些归因的可信度高于传统网络犯罪调查中常见的水平——在后者中,链上证据并不存在。
延伸阅读:Saylor 称 3.3% 的比特币增发足以维持股息策略
“IT 劳工”计划:另一条平行收入渠道
与黑客行动分离开来,朝鲜还运行着一条平行的加密收入生成计划,并在 2024 和 2025 年受到执法机构高度关注。数千名朝鲜公民利用 AI 生成的身份材料和深度伪造视频技术,冒用虚假身份,在北美和欧洲的加密公司以及 Web3 初创企业中获得远程工作岗位。
美国 司法部 于 2024 年 5 月起诉 了 14 人,指控其运营一项计划,将朝鲜 IT 劳工安插进 300 多家美国公司,其收入被输送回朝鲜。
起诉书称,单个工作人员年收入在 25 万至 30 万美元之间,该计划在数年间累计产生数千万美元的总收入。
司法部 2024 年 5 月的起诉书记录显示,朝鲜 IT 劳工在美国加密和科技公司每人年收入最高可达 30 万美元,资金则通过分布在美国、英国和中国的中间人网络被转回朝鲜。
对于加密行业而言,这一 IT 劳工计划尤其阴险,因为它在开发团队内部埋下了“内部人”访问权限。相比之下,拥有合法凭证和代码仓库访问权限的内部 IT 人员,远比试图突破外围防线的外部攻击者更具威胁。
多位安全研究人员指出,代码提交中的可疑模式、无法解释的仓库访问记录以及异常工作时间,如今都被安全意识较强的加密公司视作潜在的朝鲜 IT 劳工信号。
IT 劳工计划与针对开发者的社交工程攻击交织在一起,使得朝鲜针对加密行业的攻击面呈多维度展开:外部黑客、通过虚假工作机会被攻陷的开发者,以及被安插的内部人,这三类威胁向量正同时运作。
延伸阅读:特朗普放行更广泛 AI 部署后,OpenAI 取得 GPT-5.6 批准
更广泛的行业安全应对
行业对朝鲜威胁的应对已相当实质,但进展不均衡。
资源最充足的协议如今会在上线前进行全面安全审计,运行金额达六位数的漏洞奖励计划,并配备具备攻防研究背景的内部安全团队。
这种安全投入集中于头部协议的现象,反映了与整个加密行业相同的幂律分布。
领先的 Web3 漏洞赏金平台 Immunefi 报告 截至 2025 年年中累计支付了超过 1 亿美元赏金——这些赏金帮助发现的漏洞,理论上可能导致数十亿美元的潜在损失。
其历史上单笔金额最高的赏金是向一位“白帽”研究员支付的 1,000 万美元,用以奖励其在某大型 DeFi 协议被利用前发现了关键漏洞。
但这种安全支出集中在顶级协议,也意味着规模较小的 DeFi 项目——尽管合计 TVL 仍达数十亿美元——在防护上明显不足。
处于众多重大攻击事件中心的跨链桥问题,也催生了相应的架构性应对方案。
其中最主要的是向更高信任最小化的跨链方式转型,利用零知识证明去验证源链状态,而非依赖验证者委员会。
包括 Succinct Labs 和 Polyhedra Network 在内的项目已经构建了专门面向这一场景的 ZK 轻客户端基础设施,旨在消除像 Ronin 这类跨链桥因依赖受信委员会而暴露的可利用空间。
Whether要判断安全基础设施是否在足够快地改进,从而领先朝鲜的能力发展,这一点确实存在不确定性。
2026 年上半年 66% 的占比表明,即便行业投入巨大,攻击者仍在同步跟进。
延伸阅读:SpaceXAI Wants A Cursor-Powered Claude Killer Before The $60B Deal Even Closes
地缘政治博弈与未来走向
加密货币盗窃是朝鲜获取硬通货的最重要来源。
这不是夸张的修辞,而是有文献记录的行动现实——美国财政部、联合国以及盟国情报机构都予以承认。
联合国专家小组估算,2017 至 2023 年间,朝鲜通过加密货币盗窃获得的收益大约为 30 亿美元,并且近年来节奏还在加快。
这些资金并不会以任何常规意义上的方式流入政权国库。
它们直接流入武器项目——尤其是弹道导弹和核弹头小型化项目,而这些正是平壤的首要战略优先事项。
从 DeFi 协议中被盗的每一美元,都有可能转化为武器系统在物质和技术上的能力,而这些武器系统正是美国、韩国和日本防务决策者在威胁评估中进行建模的对象。
联合国专家小组将 2017 至 2023 年间那 30 亿美元盗窃金额,直接与武器项目融资联系在一起——这使得区块链安全成为东北亚地区安全考量中的一个现实组成部分。
接着看:5 Cheaper Fable 5 Rivals: Don’t Overpay For Daily AI Work
最后的思考
2026 年上半年 66.2% 的占比数据并不是一个无关紧要的统计奇闻。
它反映的是这样一场对抗的现状:一方是全球最强的国家级网络项目之一,另一方则是一个在历史上一直把“抢占市场速度”置于“运营安全”之上的行业。
这场对抗的轨迹——从 2017 年机会主义的交易所攻击,到 2022 年 Ronin 跨链桥事件,再到当前同时针对开发者、跨链桥和内部人员的多向度行动——展现的是一个威胁行为者:不断学习、适应与扩张,其速度已经超过了行业防御性投入所能遏制的水平。
那些结构性上有利于朝鲜的因素,在短期内不会消失。
朝鲜拥有一支制度化的网络工作队伍,没有私营部门的诱惑,没有公众问责压力,并且肩负着“通过一切可行方式创收”的国家任务。
相比之下,加密行业的安全版图是分散的。最有价值的协议防护愈发严密——但那些“长尾”中的小型 DeFi 项目在系统性上依然资源不足。
而作为连接生态系统各个流动性孤岛的基础设施,跨链桥在架构上依然高度复杂,这种复杂性不断制造出可被利用的、长期存在的假设性漏洞。





