4 月 18 日周六,由 Kelp DAO quietly bled 116,500 rsETH 运行的一条跨链桥被悄然掏空。到周一,LayerZero had a name for the attackers。不是一个新名字。
朝鲜的 拉撒路组织(Lazarus Group) 在加密世界已不再只是一个“黑客标签”。它是最清晰的证据:国家支持的网络行动,已经把数字资产变成战略融资通道;行业内最大规模的安全事件,也越来越不像是孤立的漏洞事故,而更像是一次次长期博弈中的战役失利。
- LayerZero 将 2026 年 4 月 18 日、价值约 2.92 亿美元的 以太币 (eth) 衍生品 Kelp DAO 攻击事件,归因于朝鲜拉撒路组织及其 TraderTraitor 分支。
- Chainalysis 称,与朝鲜有关的黑客在 2025 年盗取了 20.2 亿美元加密资产,使其累计窃取总额达到 67.5 亿美元。
- 这一模式表明,主导行业安全格局的已不再是单点智能合约漏洞,而是国家支持的“运作型战争”。
Kelp 被打劫,以及为何“归因”很要紧
LayerZero 在 4 月 20 日的事后分析中,pinned Kelp DAO 被盗事件为国家行为者所为。声明称,这是 2026 年迄今最大的一起 DeFi 攻击,并点名“一个高度复杂的国家级行为体,很可能是朝鲜拉撒路组织,具体为 TraderTraitor 分支”。
这次利用并不是智能合约漏洞。攻击者攻陷了 LayerZero 去中心化验证网络所使用的两个 RPC 节点,然后对干净节点发起拒绝服务攻击,迫使系统切换到被投毒的节点。
在这种情况下,Kelp 所谓“1-of-1 验证者”配置开始为一条伪造的跨链消息做“背书”,跨链桥随后向攻击者释放出 116,500 rsETH。
Kelp 随后通过应急多签在约 46 分钟后就paused 了核心合约,阻止了两次总计约 1 亿美元的后续尝试。
Kelp 在公开回应中反驳了 LayerZero 的表述,称单一验证者配置其实是 LayerZero 自家文档中的默认设置,而非他们违背明确安全建议的任性选择。
“归因”是把这次事件从“修完补丁就翻篇”的事故,变成别的东西的关键。漏洞意味着打补丁;国家行为者意味着你获得了一个长期对手。
延伸阅读: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
拉撒路究竟是谁
在 2025 年 2 月 26 日关于 Bybit 被盗案的通告中,FBI placed 明确指出:TraderTraitor 集群隶属于朝鲜国家级网络体系,并点名其是这起 15 亿美元虚拟资产大案的直接操盘者。
2022 年的路透报道以及美国财政部多轮制裁通告则 tied 拉撒路、Bluenoroff 和 Andariel 等组织至侦察总局——平壤的核心军事情报机构。
在这一架构内,分析人士追踪到一系列轮换使用的代号:APT38、Hidden Cobra、Diamond Sleet、Jade Sleet、Slow Pisces、TraderTraitor 等,它们经常共享人员与基础设施。
这对加密行业的含义非常直接。
当一个攻击被归咎于“拉撒路”时,对手并不是某个地下室里的少年黑客,也很少只是某个孤立接活的外包个人,而是一个有预算、有任务授权、时间尺度按“年”而不是“周”来计算的国家单位。
这改变了什么才算“可信防御”的标准,也改变了在洗钱路径的终点,究竟是谁在受益。
延伸阅读: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
从索尼,到智能合约
拉撒路并不是从加密行业起家的。它先是在 2014 年的索尼影业“擦除”攻击中亮相,之后是 2016 年孟加拉央行 SWIFT 盗款,再到 2017 年的 WannaCry 勒索。
接下来才是加密,而且上手极快。
2022 年 12 月,韩国国家情报院在接受美联社采访时told 称,朝鲜黑客在五年内窃取了约 12 亿美元虚拟资产。
一份联合国专家小组报告revealed ,2017–2023 年间共有 58 起疑似朝鲜网络攻击,涉案金额约 30 亿美元,并直接为平壤的大规模杀伤性武器项目输血。
Chainalysis 最新数据将这一累计数字推得更高:目前已识别的朝鲜相关加密盗窃高达 67.5 亿美元,仅 2025 年就有 20.2 亿美元。
故事在于轨迹:事件数量逐年减少,但单起金额不断放大。随着行业体量变大,目标规模抬升,拉撒路也同步完成了规模与打法的升级。
延伸阅读: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
与拉撒路相关的最大劫案
美国财政部曾updated 其制裁名单,加入了与 2022 年 3 月 Ronin 跨链桥盗窃相关的钱包地址,认定约 6.25 亿美元损失由朝鲜行为者造成。
一份简短清单足以说明规模:
- Ronin Network,2022 年 3 月:Axie Infinity 侧链桥约 6.25 亿美元被盗,数周后被美国财政部 OFAC 归因于拉撒路。
- Harmony Horizon,2022 年 6 月:约 1 亿美元被盗,2023 年 1 月 FBI 正式归因于拉撒路及 APT38。
- WazirX,2024 年 7 月:印度交易所多签被攻破,约 2.35 亿美元被盗,广泛被认为是朝鲜相关黑客所为。
随后到来的是“爆发年”。
2024 年 5 月,DMM Bitcoin 遭窃 4,502.9 枚 比特币 (btc),按当时价格约 3.08 亿美元。FBI、美国国防部与日本警察厅在 12 月confirmed ,这是 TraderTraitor 所为:一场以“招聘”为诱饵的攻击,先攻陷一家钱包软件供应商,最终通过篡改提现流程完成盗窃。
到 2025 年 2 月的 Bybit 案,则是一个高峰。
攻击者在一次例行冷钱包转账中伪装签名界面,将约 40 万枚以太币(当时约 15 亿美元)重定向到未知地址。
按 Chainalysis 统计,这一事件占据了 2025 年全行业 34 亿美元损失中的 15 亿美元。Kelp 的 2.92 亿美元只是最新一章,而不是最响的一章——它更像是一个成熟行动在“无需制造声势”后的常态表现。
延伸阅读: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
拉撒路的“剧本”已经换代
FBI 与日本警方在 DMM Bitcoin 联合通告中详细介绍 了拉撒路的新模板:过去那种一味“钓鱼邮件”的刻板印象,已经过时。
一名黑客伪装成 LinkedIn 招聘人员。一份虚假的入职前测试,把恶意 Python 脚本植入 Ginco(钱包软件供应商)一名工程师的个人 GitHub。窃取的会话 Cookie 打开了 Ginco 内部聊天系统的大门,几周后,一笔本来合法的 DMM 提币请求在传输途中被悄悄改写。
在 Bybit 事件中,Safe{Wallet} confirmed :被恶意修改的签名应用在界面上显示的是正确收款地址,而在底层智能合约逻辑中动了手脚。到了 Kelp 案里,LayerZero 称攻击者直接在验证者所信任的 RPC 节点上替换二进制文件,并设计成在攻击后自毁、抹除本地日志。
共同点很清晰:代码本身很少是唯一的漏洞。人成了漏洞,外包与供应商成了漏洞,构建流水线和基础设施托管方也成了漏洞。
Chainalysis 还指出一条平行渠道:朝鲜特工通过虚假身份,以远程 IT 人员的名义渗透加密公司,有时还通过 Upwork、Freelancer 等平台招募协作者,进一步扩展产能。
延伸阅读: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
为何拉撒路反复“光顾”加密行业
朝鲜的动机是经济生存,而非意识形态。
美联社与联合国的公开报道一再describe :加密盗窃已经成为这个被制裁经济体的重要替代收入来源,并被直接用于资助导弹与核计划。
美联社援引的美国官员估计,网络犯罪如今已接近占朝鲜外汇收入的一半。
加密恰好是完成这一任务的近乎“完美目标”:交易在几分钟内最终结算,而不是几天,没有代理银行可以“反悔”;流动性深、假名成本低,跨链通道转移价值的速度远超任何执法机构冻结资产的能力。
雅虎财经在报道中noted ,引用 LayerZero 关于 Kelp 的时间线称:攻击者在完成攻击后,合并了约 7.4 万枚以太币,并在出手前约 10 小时通过 Tornado Cash 预先为相关钱包注资。
在一个政府权衡“抢银行”还是“抢跨链桥”的世界里,跨链桥显然是更划算的选择。 every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
链上调查员实际补充了什么
Arkham 在 2025 年 2 月 21 日发布的悬赏帖中,将通过测试交易、关联钱包和时间轴分析,将 Bybit 漏洞与 Lazarus 联系起来的“确定性证据”归功于匿名链上侦探 ZachXBT。
五天后,FBI 在公共服务公告中正式点名朝鲜,使用 TraderTraitor 标签并公布了钱包黑名单。
顺序很重要。像 ZachXBT 这样的链上侦探,经常是最早在公开层面将重大安全事件与 Lazarus 相关钱包和洗钱模式联系起来的人,有时甚至早于官方确认。
他们不是核心“真相源”。他们是一个早期的公开归因层,在联邦机构以更慢、更注重证据的流程推进时,加速了交易所层面的响应。
这种分工是新的。而且是“承重结构”,因为一旦被盗资金开始在不同链之间跳转,唯一的问题就是地址能多快被标记出来。
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
为何行业仍然输掉这些战斗
大多数加密安全讨论仍然围绕代码审计展开。Lazarus 并不在乎审计。
真正重要的攻击面是运营层面。它包括第三方签名工具、钱包厂商、节点基础设施、招聘渠道、构建系统,以及一小撮拥有特权访问权限的人。在过去两年中,上述每一项都曾出现在至少一次与 Lazarus 相关的安全事件中。
Chainalysis 报告了第二个结构性问题:洗钱流程被优化为大致 45 天的三波模式,将被盗资金通过混币器、跨链桥和中文 OTC 网络分批转移,通常每批控制在 50 万美元以下,以避免触发监控。
行业响应依然碎片化。各家交易所拉黑地址的速度不同。有的 DeFi 协议会暂停,有的则不会。
事发后的一份 Dune 分析发现,47% 的活跃 LayerZero OApp 仍在运行 1-of-1 DVN 配置。
防守方必须每一周都赢。Lazarus 每个季度赢一次就够了。
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Kelp 预示的下一阶段
Kelp 带来的不舒服结论是:即便经历了 Bybit,代码安全和运营安全之间的鸿沟依然巨大。
Bybit 是一次针对签名接口的攻击,背后是 200 亿美元规模的资产负债表。Kelp 则是在基础设施层面,针对一家中等规模流动性质押协议的攻击。
同一攻击者集群,不同攻击向量,与早前同样被认定与朝鲜有关、Drift Protocol 大约 2.85 亿美元被盗事件仅相隔 18 天。
这种节奏本身就是重点。Lazarus 更新攻击剧本的速度快于 DeFi 团队加固其依赖项的速度,而每一次成功的攻击又会反哺下一轮的招募、工具建设和“耐心储备”。
The Hacker News 报道,2025 年全球被盗加密资产中,有 59% 出自与朝鲜有关的攻击者之手,这凸显了这一对手在整个行业损失中的核心地位。
像单一验证者配置、未经审计的节点运营方以及共享钱包软件这类配置选择,不再是次要风险点。在对手是一个国家的世界里,它们就是主战场。
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
结论
Lazarus 证明了,如今加密领域最大的安全失败,已经同时是地缘政治、金融和基础设施层面的失败。
Ronin、Harmony、WazirX、DMM Bitcoin、Bybit 以及现在的 Kelp,并不是一串彼此无关的偶发事故。它们构成了一场战役,由一个受制裁的政府,针对一个仍然低估“持久型国家级对手”长相与打法的行业发起。
下一次的 Kelp 式事件已经在筹划中。问题在于,这个行业会把它当作一个“漏洞报告”,还是当作一条前线。
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
常见问题
Kelp DAO 被黑事件发生了什么?
2026 年 4 月 18 日,攻击者从 Kelp DAO 运营的一座跨链桥中,转走了 116,500 枚 rsETH,价值约 2.92 亿美元。此次攻击并未利用智能合约漏洞,而是攻陷了 LayerZero 去中心化验证者网络所使用的两个 RPC 节点,并强制触发故障切换,让一个被投毒的节点替攻击者“盖章”了一笔伪造的跨链消息。46 分钟后,Kelp 的应急多签暂停了核心合约,阻止了两次追加攻击,合计规模约 1 亿美元。
Lazarus 组织是谁?
Lazarus 是对与朝鲜国家相关网络攻击者的统称,被美国财政部和 FBI 界定为隶属于平壤主要军事情报机构——侦察总局。分析人士在这一总称之下追踪多个子集群和别名,包括 TraderTraitor、APT38、Bluenoroff、Andariel、Hidden Cobra、Diamond Sleet、Jade Sleet 和 Slow Pisces 等,这些集群往往共享基础设施和人员。
LayerZero 为什么将 Kelp 攻击归因于 Lazarus?
LayerZero 的事后分析指出,攻击者的作案手法和钱包行为带有典型国家级攻击者特征,尤其符合 Lazarus 旗下 TraderTraitor 小组的风格。攻击发生前约 10 小时,通过 Tornape Cash 预先注资、在被攻陷的基础设施上使用自毁二进制文件、以及事后将约 74,000 枚以太币集中归集,这些都与以往被认定为朝鲜相关攻击中的模式高度吻合。
朝鲜一共偷了多少加密资产?
Chainalysis 认定,与朝鲜相关的加密资产盗窃总额为 67.5 亿美元。其中仅 2025 年一年就盗取了 20.2 亿美元,约占当年全球加密资产盗窃总额的 59%。更早前,韩国国家情报院曾估算,截止 2022 年的五年间总额约为 12 亿美元,而联合国专家小组则对 2017 至 2023 年间 58 起疑似朝鲜网络攻击展开调查,涉案金额约 30 亿美元。
什么是 TraderTraitor?
TraderTraitor 是 Lazarus 旗下专门针对加密行业目标的子集群。其标志性手法是对技术人员实施社会工程攻击,包括利用 LinkedIn 上的虚假招聘邀约、附带恶意软件的“入职前技术测试”、以及对钱包软件厂商或签名基础设施的渗透攻陷。FBI、美国国防部和日本警察厅曾在 DMM Bitcoin 3.08 亿美元被盗事件中正式点名 TraderTraitor,FBI 之后又在 15 亿美元 Bybit 被黑事件中再次点名该集群为幕后操盘者。
与 Lazarus 相关的最大加密攻击有哪些?
目前已公开归因的最大事件包括:2022 年 3 月 Ronin Network,约 6.25 亿美元;2022 年 6 月 Harmony Horizon,约 1 亿美元;2024 年 7 月 WazirX,约 2.35 亿美元;2024 年 5 月 DMM Bitcoin,约 3.08 亿美元;2025 年 2 月 Bybit,约 15 亿美元;以及 2026 年 4 月 Kelp DAO,约 2.92 亿美元。
Lazarus 如何洗白被盗加密资产?
据 Chainalysis 描述,其已形成一个精细化的、约 45 天三波式洗钱周期。被盗资金会依次流经混币器、跨链桥和中文 OTC 网络,通常被拆分成单笔低于 50 万美元的小额批次,以避免触发监控阈值。目标是在资金抵达套现渠道之前,跑赢交易所黑名单和链上分析的追踪。
为什么朝鲜要针对加密资产?
据联合国专家小组报告以及美联社引用的美国官员说法,加密盗窃已成为平壤在制裁环境下的重要外汇来源渠道,并直接为其弹道导弹与核计划提供资金支持。美国方面的估算指出,网络犯罪如今已接近占朝鲜外汇收入的一半。加密网络之所以适合这个任务,是因为交易在几分钟内即可最终结算,且不能被代理银行单方面撤销。
ZachXBT 是谁,他扮演了什么角色?
ZachXBT 是一位匿名链上调查员,他的公开归因工作多次先于政府正式确认。在 Bybit 案件中,Arkham 在 2025 年 2 月 21 日的悬赏帖中,称赞他完成了将该漏洞与 Lazarus 联系起来的交易链分析,比 FBI 正式点名朝鲜早了五天。像 ZachXBT 这样的链上侦探构成了一个早期公开归因层,不是联邦调查的替代品,但在推动交易所层面的快速响应方面更为敏捷。
加密行业能阻止 Lazarus 吗?
光靠代码审计不行。真正关键的攻击面在运营层,包括第三方签名工具、钱包厂商、节点基础设施、招聘渠道和构建系统。对 Kelp 事件的 Dune 分析发现,47% 的活跃 LayerZero OApp 仍在运行 1-of-1 验证者配置,而这正是促成 Kelp 被攻陷的那种架构。现在要取得防御上的进步,关键就在于跨供应商、基础设施托管方和人力访问层,全面加固这一层面的安全。
现在使用 Kelp DAO 安全吗?
Kelp 通过其应急多签暂停了核心合约…multisig within 46 minutes of detection, which blocked two additional drain attempts. Users should check Kelp's and LayerZero's official incident channels for the current contract status, any recovery or reimbursement program and updated verifier configurations before resuming activity.
Lazarus 和 TraderTraitor 有什么区别?
Lazarus 是一个总称(“伞式”组织)。TraderTraitor 是该总称之下的一个专门子集群,专注于加密行业目标,并以针对工程师和钱包软件供应商的社会工程攻击而闻名。当 FBI 将一次攻击明确归因于 TraderTraitor 时,它点名的是具体的行动单元,而不仅仅是更广泛的、与国家有关联的生态体系。