到2025年,加密货币盗窃已从简单的投机性诈骗演变为针对大型交易所和关键基础设施的复杂、由国家支持的行动。2025年上半年,加密货币盗窃金额超过21.7亿镁,而且这一数字每月都在持续上涨。
仅在9月份,就发生了20起与加密货币相关的攻击,损失达1.2706亿镁,点击了加密货币威胁的上涨。以下是三个参与重大入金攻击的著名黑客组织。
1. 拉撒路集团
拉撒路集团(Lazarus Group)是一个臭名昭著、长期存在的、受朝鲜支持的黑客组织。该组织以“APT 38”、“迷宫千里马”(Labyrinth Chollima)和“隐藏眼镜蛇”(HIDDEN COBRA)等别名而闻名,其屡次展现出能够超越哪怕是最先进安全系统的能力。
黑客们还指出,他们的活动至少可以追溯到2007年,当时他们入侵了韩国政府系统。其他值得注意的攻击包括2014年索尼影业遭黑客攻击(为报复电影《采访》而发动)、2017年WannaCry勒索软件爆发,以及持续针对韩国经济部门的攻击活动。
近年来,Lazarus 重点关注加密货币盗窃,在 2021 年至 2025 年期间窃取了超过 50 亿镁。其中最严重的一起是 2025 年 2 月的Bybit黑客攻击,该组织窃取了价值15 亿镁的以太坊(姨太),这是有史以来最大的加密货币盗窃案。其他活动包括2025 年 5 月窃取价值 320 万镁的Solana (SOL) 。
Chainalysis 在 7 月份写道: “朝鲜的Bybit黑客攻击从根本上改变了 2025 年的威胁背景。此次事件涉及 15 亿镁,不仅是历史上最大的加密货币盗窃案,而且约占今年服务被盗总金额的 69%。”
2. 贡杰什克·达林德
Gonjeshke Darande(又名“猎物麻雀”)是一个出于政治动机的黑客组织,据信与以色列有关联。在以色列和伊朗紧张局势不断升级的背景下,该组织入侵了伊朗最大的加密货币交易所挖矿 ,窃取了约 9000 万镁,随后销毁了这些加密货币。
Gonjeshke Darande 还公开了 Nobitex 的源代码,破坏了交易所的一家独大系统,并对其在用户和合作伙伴中的声誉造成了极大损害。
他们在六月份发帖称:“12小时前,8个销毁地址从该政权最喜欢的制裁突破工具Nobitex的钱包里销毁了9000万镁。12小时后,Nobitex源代码将被公开,Nobitex的围墙花园将失去围墙。你想把你的资产放哪儿?”
该组织的其他袭击还针对伊朗的基础设施、银行和许多其他领域。
- 2021 年 7 月,Gonjeshke Darande 扰乱了伊朗铁路系统,造成严重延误,并在公共公告板上发布嘲讽信息。
- 2022年10月,该组织袭击了三家大型钢铁厂,并发布了火灾视频,造成严重的物质和经济损失。
- 2025年5月,他们入侵了伊朗国有银行塞帕银行,泄露了敏感数据并扰乱了金融运营。
3. UNC4899
UNC4899 是一个由朝鲜政府资助的加密黑客组织。根据谷歌的《云威胁视野报告》 ,该组织在朝鲜主要情报机构侦察总局 (RGB) 的指挥下运作。
报告显示,该组织至少自2020年以来一直活跃。此外,UNC4899的攻击重点是加密货币和区块链领域。该组织在实施供应链攻击方面展现出了先进的能力。
报告写道:“一个值得注意的例子是他们涉嫌利用 JumpCloud挖矿,渗透到一家软件解决方案公司,然后攻击加密货币领域的下游客户,点击了这种先进对手所带来的普遍风险。”
2024 年至 2025 年间,加密货币黑客实施了两起重大盗窃案。其中一起案件中,他们在 Telegram 上诱骗受害者,通过 Docker 容器部署恶意软件,超越Google Cloud上的 MFA,窃取了价值数百万镁的加密货币。
在另一起案件中,他们通过 LinkedIn 访问目标,窃取 AWS 会话 cookie 以超越安全措施,将恶意 JavaScript 代码注入云服务,并次提取数百万镁的数字资产。
因此,今年加密货币盗窃已成为地缘政治冲突和金融犯罪的工具。今年数十亿镁的损失——以及许多攻击背后的战略动机——表明,交易所、基础设施提供商甚至政府都需要将加密货币安全视为国家安全问题。如果没有协调一致的防御措施、情报Chia以及整个生态系统更强有力的保护措施,损失只会持续上涨。
