朝鲜推动加密货币盗窃案创下20亿美元的纪录,使历史总盗窃金额达到67.5亿美元。

avatar
Chainalysis
12-18
本文为机器翻译
展示原文

太长不看

  • 朝鲜黑客在 2025 年窃取了价值 20.2 亿美元的加密货币,同比增长 51%,尽管攻击次数减少,但其总窃取金额仍达到 67.5 亿美元。
  • 朝鲜通过派遣 IT 人员进入加密服务领域或使用复杂的冒充策略来针对高管,从而以更少的事件实现更大的盗窃规模。
  • 朝鲜明显偏爱中文洗钱服务、桥梁服务和混合协议,重大盗窃案发生后,洗钱周期为 45 天。
  • 2025 年,个人钱包被盗事件激增至 158,000 起,影响了 80,000 名不同的受害者,但被盗总金额(7.13 亿美元)较 2024 年有所下降。
  • 尽管 DeFi 中的总锁定价值有所增加,但 2024-2025 年黑客攻击损失仍然受到抑制,这表明改进的安全措施正在产生有意义的影响。

2025年,加密货币生态系统再次面临挑战,被盗资金数量持续攀升。我们的分析揭示了加密货币盗窃模式的转变,其主要特征体现在四个方面:朝鲜民主主义人民共和国(DPRK)作为主要威胁行为者的Persistence;针对中心化服务的个人攻击日益严重;个人钱包被盗事件激增;以及去中心化金融(DeFi)黑客攻击趋势出现意想不到的分化。

这些模式从数据中清晰显现,揭示了不同平台类型和受害者群体中加密货币盗窃行为的显著变化。随着数字资产的普及和估值不断攀升,了解这些不断演变的安全威胁变得日益重要。

总体情况:2025年被盗金额超过34亿美元

从 2025 年 1 月到 12 月初,加密货币行业遭受了超过 34 亿美元的盗窃,其中仅2 月份Bybit的被盗事件就造成了 15 亿美元的损失。

除了总体数据之外,这些数据还揭示了盗窃案件构成方面的重要变化。个人钱包被盗案件大幅增加,从2022年仅占被盗总价值的7.3%上升到2024年的44%。如果不是因为Bybit攻击造成的巨大影响,2025年这一比例本应为37%。

与此同时,由于私钥泄露,中心化服务正遭受日益严重的损失。尽管这些平台拥有机构资源和专业的安全团队,但由于这一根本性的安全挑战,它们仍然不堪一击。虽然此类泄露事件并不常见(如下图所示),但一旦发生,其规模仍然巨大,导致被盗数据量占比极高,在2025年第一季度占总损失的88%。

Persistence高企的盗窃量表明,虽然加密安全某些方面可能有所改善,但攻击者仍然能够通过多种途径取得成功。

前三大黑客攻击造成的损失占总损失的 69%,其中异常值达到中位数的 1000 倍。

资金被盗事件历来受极端事件驱动,大多数黑客攻击规模相对较小,但也有一些规模巨大。然而,2025 年的情况却呈现出惊人的增长趋势:最大黑客攻击与所有事件中位数的比率首次突破了 1000 倍Threshold。如今,最大攻击中被盗的资金是普通攻击中被盗资金的 1000 倍,甚至超过了 2021 年牛市的峰值。这些计算均基于被盗资金在被盗时的美元价值。

这种日益扩大的差距导致损失高度集中。2025 年排名前三的黑客攻击事件将占所有服务损失的 69%,这意味着单个事件对年度总损失的影响将异常巨大。虽然事件数量可能会波动,且损失中位数会随着资产价格上涨而增加,但发生灾难性单次攻击的可能性正在以更快的速度增长。

尽管已确认的事件有所减少,但朝鲜仍然是加密货币威胁的主要行为体。

尽管攻击频率经评估大幅下降,但朝鲜民主主义人民共和国(朝鲜)仍然是加密货币安全面临的最重大国家级威胁,其被盗资金数额创下历史新高。2025年,朝鲜黑客窃取了至少20.2亿美元的加密货币(比2024年增加6.81亿美元),同比增长51%。就被盗金额而言,这是朝鲜加密货币盗窃案有记录以来最严重的一年,朝鲜发起的攻击也占所有服务入侵事件的76%,创下历史新高。总体而言,2025年的数据使朝鲜窃取的加密货币资金累计总额的最低估计值达到67.5亿美元。

朝鲜威胁行为者正日益取得这些惊人的成果,他们通常通过将IT人员( 朝鲜的主要攻击手段之一)安插到加密服务中,以获取特权访问权限并实施高影响力攻击。今年创纪录的攻击数量可能部分反映出,他们更加依赖IT人员渗透交易所、托管机构和Web3公司,这可以加速初始访问和横向移动,从而为大规模盗窃做好准备。

然而,最近与朝鲜有关联的黑客组织彻底颠覆了这种IT从业者模式。他们不再仅仅是申请职位并融入企业,而是越来越多地冒充知名Web3和人工智能公司的招聘人员,精心策划虚假的招聘流程,最终以“技术筛选”为名,窃取受害者的凭证、源代码以及VPN或SSO访问权限。在企业高管层面,类似的社会工程学手法也以虚假的战略投资者或收购方身份出现,他们通过推介会和伪尽职调查来试探敏感系统信息和潜在的高价值基础设施访问路径——这种演变直接建立在朝鲜针对IT从业者的欺诈行动及其对具有战略意义的人工智能和区块链公司的关注之上。

正如我们过去几年所见,朝鲜持续发动价值远高于其他威胁行为者的攻击。如下表所示,2022年至2025年间,归因于朝鲜的黑客攻击占据了最高价值区间,而非朝鲜的黑客攻击则呈现出更为均匀的分布,损失金额分布较为均衡。这一模式进一步表明,朝鲜黑客发动攻击时,会瞄准大型服务并力求造成最大影响。

今年创纪录的收益来自数量显著减少的已知事件。这种转变——更少的事件带来更大的收益——反映了2025年2月Bybit大规模黑客攻击事件的影响。

朝鲜独特的洗钱模式

2025年初大量被盗资金的涌入,以前所未有的方式揭示了与朝鲜有关联的犯罪分子如何大规模洗钱。他们的作案手法与其他网络犯罪分子截然不同,并且随着时间的推移而不断演变,这暴露了他们当前的运作偏好和潜在的漏洞。

朝鲜的洗钱活动呈现出独特的区间模式,超过60%的交易量集中在50万美元以下的转账金额。相比之下,其他洗钱者超过60%的资金以100万美元至1000万美元以上的单笔金额分批上链。尽管朝鲜每次洗钱的金额都高于其他洗钱威胁者,但他们却将链上支付分成更小的批次,这体现了其洗钱手段的复杂性。

与其他洗钱者相比,朝鲜在某些洗钱环节表现出明显的偏好:

朝鲜黑客往往更倾向于:

  • 中文资金流动和担保服务(增长355%至1000%以上):这是其最显著的特征,表明其严重依赖中文担保服务和由众多洗钱运营商组成的洗钱网络,而这些运营商的合规控制可能较弱。
  • 桥接服务(差异高达97%):严重依赖跨链桥在区块链之间转移资产,并试图增加追溯难度。
  • 混合服务(差异增加 100%):更多地使用混合服务来试图掩盖资金流动。
  • 像Huione这样的专业服务(+356%):战略性地利用特定服务来促进其洗钱活动。

其他挪用资金者往往更倾向于:

  • 借贷协议(差异达80%):朝鲜避免使用这些DeFi服务,表明其与更广泛的DeFi生态系统的整合程度有限。
  • 无需 KYC 的交易平台(差异达 75%):令人惊讶的是,其他威胁行为者使用无需 KYC 的交易平台的频率高于朝鲜。
  • P2P交易(差异-64%):朝鲜对点对点平台表现出有限的兴趣
  • 中心化交易所(差异-25%):其他犯罪分子与传统交易所平台的互动更为直接
  • 去中心化交易所(DEX)(差异 -42%):其他威胁行为者更倾向于使用 DEX,因为它们具有流动性和匿名性。

这些模式表明,朝鲜民主主义人民共和国的运作受到的限制和目标与非国家支持的网络犯罪分子不同。他们大量使用专业的中文洗钱服务和场外交易(OTC)交易商,表明朝鲜的威胁行为者与亚太地区的非法行为者紧密相连,这与平壤历史上利用中国网络进入国际金融体系的做法相符。

朝鲜黑客事件后被盗资金洗钱的时间线

我们对朝鲜涉嫌黑客攻击事件发生后链上活动的分析揭示了这些事件与被盗资金在加密货币生态系统中流动之间存在一致的关联模式。在2022年至2025年发生的重大盗窃事件之后,被盗资金遵循着一个结构化的、多阶段的洗钱路径,该路径大约持续45天:

第一阶段:立即分层穿衣(第0-5天)

在黑客攻击发生后的最初几天,我们观察到一系列异常活跃的活动,这些活动旨在立即将资金与盗窃来源隔离开来:

  • DeFi协议的资金被盗流量增幅最为显著(+370%),因为它们是主要的入口点。
  • 混合服务量大幅增长(+135-150%),造成了第一层混淆。
  • 这一阶段代表着为与最初的盗窃行为划清界限而采取的紧急“第一步”行动。

第二阶段:初步整合(第6-10天)

第二周开始后,策略转向能够帮助将资金融入更广泛生态系统的服务:

  • KYC流程有限的交易所(+37%)和中心化交易所(+32%)开始接收资金流。
  • 二级混洗服务(+76%)继续进行洗涤过程,但强度有所降低。
  • 像 XMRt (+141%) 这样的跨链桥有助于分散和隐藏跨区块链的资金流动。
  • 这一阶段代表着资金开始流向潜在退出渠道的关键过渡期。

第三波:长尾整合(第20-45天)

最后阶段明显偏好能够最终促成货币或其他资产转换的服务:

  • 无需KYC的交易所(+82%)和土豆单宝等担保服务(+87%)均出现显著增长。
  • 即时交易平台(+61%)和汇丰等中文平台(+45%)是最终的转化渠道。
  • 中心化交易所(+50%)也接收资金,这表明存在复杂的企图,即混入合法资金流。
  • 监管较少的司法管辖区,例如中文洗钱网络(+33%)和 Grinex(+39%)等平台,也构成了这一模式。

洗钱活动通常持续45天,这一窗口期为执法和合规团队提供了至关重要的情报。这种模式多年来Persistence,表明与朝鲜有关联的行动者面临着行动上的限制,这可能与他们获取金融基础设施的渠道有限以及需要与特定协助者协调有关。

虽然这些犯罪分子并非总是遵循这一时间线——有些被盗资金会沉寂数月甚至数年——但这种模式代表了他们在积极洗钱时典型的链上行为。此外,还需注意此分析中可能存在的盲点,因为某些活动,例如私钥转移或场外加密货币兑法币交易,如果没有其他情报佐证,在链上是无法显示的。

个人钱包安全漏洞:对个人用户的威胁日益加剧

通过对链上模式的分析,以及受害者和行业合作伙伴的报告,我们可以了解个人钱包被盗的规模,但实际的被盗数量可能远高于此。根据我们的最低估计,到2025年,个人钱包被盗将占所有被盗金额的20%,低于2024年的44%,这代表着规模和模式的演变。2025年,盗窃事件总数将飙升至15.8万起,几乎是2022年记录的5.4万起的三倍。独立受害者人数从2022年的4万人增加到2025年的至少8万人。这些显著增长很可能是由于加密货币的普及。例如, Solana是活跃个人钱包数量最多的区块链之一,其事件数量也遥遥领先(约2.65万名受害者)。

尽管攻击事件和受害者人数有所增加,但从单个受害者处被盗的总金额实际上从2024年的峰值15亿美元下降到2025年的7.13亿美元。这表明攻击者正在瞄准更多用户,但每个受害者被盗的金额却更少。

网络特定的受害数据能够更深入地揭示哪些领域对加密货币用户构成最大风险。下图展示了根据各网络活跃个人钱包数量调整后的受害数据。若以2025年每10万个钱包的犯罪率来衡量,以太坊和TRON )的盗窃率最高。以太坊庞大的用户规模表明其盗窃率和受害人数都较高,而波场的排名则显示,尽管其活跃钱包数量较少,但盗窃率仍然较高。相比之下,Base和Solana尽管用户基数庞大,但受害率却较低。

这些可衡量的差异凸显出,个人钱包安全风险在整个加密生态系统中并非千篇一律。即使技术架构相似,不同区块链的受害率也存在差异,这表明除了技术因素之外,用户群体特征、热门应用和犯罪基础设施等因素在决定盗窃率方面也发挥着重要作用。

DeFi黑客攻击:分化模式预示着市场转变

DeFi 行业在 2025 年的犯罪数据中呈现出独特的模式,与历史趋势明显背离。

数据显示了三个不同的阶段:

  • 第一阶段(2020-2021年):DeFi总锁定价值(TVL)和黑客攻击损失同步增长。
  • 第二阶段(2022-2023年):两项指标均下降。
  • 第三阶段(2024-2025年):总观看量恢复,黑客攻击造成的损失得到控制。

前两个阶段遵循一种直观的模式:风险价值越大,意味着可窃取的价值就越高,犯罪分子也会投入更多精力去窃取高价值协议。正如臭名昭著的银行劫匪威利·萨顿所说:“因为钱都在那里。”

这使得第三阶段与历史先例的差异更加引人注目。DeFi 总锁定价值 (TVL) 已从 2023 年的低点显著回升,但黑客攻击损失却并未随之减少。尽管数十亿美元的资金已回流到这些协议,但 DeFi 黑客攻击事件仍持续保持较低水平,这代表着一个意义重大的变化。

造成这种差异的原因可能有两点:

  • 安全性提高:尽管 TVL 不断增长,但黑客攻击率持续下降,这表明 DeFi 协议可能正在实施比 2020-2021 年期间更有效的安全措施。
  • 目标替换:个人钱包盗窃和集中式服务入侵事件同时增加,表明攻击者的注意力可能正在转移到其他目标。

案例研究:金星协议的安全响应

2025年9月发生的Venus Protocol事件充分展现了安全措施的改进如何带来切实的影响。当时,攻击者利用被入侵的Zoom客户端获取系统访问权限,并诱骗用户授予其对价值1300万美元账户的代理权限,后果不堪设想。然而,Venus在事件发生前一个月刚刚部署了Hexagate的安全监控平台。

该平台在攻击发生前18小时检测到可疑活动,并在恶意交易发生后立即发出警报。20分钟内,Venus暂停了其协议,阻止了所有资金转移。这种协调一致的应对措施展现了DeFi安全性的发展:

  • 5小时内:安全检查后部分功能已恢复
  • 7小时内:强制清算攻击者的钱包
  • 12小时内:全部追回被盗资金并恢复服务

最引人注目的是,金星通过了一项治理提案,冻结了攻击者仍控制的 300 万美元资产;攻击者不仅没有获利,反而还赔了钱。

此次事件表明,DeFi 安全基础设施已取得显著进步。主动监控、快速响应能力以及能够果断行动的治理机制相结合,使整个生态系统更加敏捷和稳健。尽管攻击仍然时有发生,但检测、响应甚至逆转攻击的能力,与 DeFi 早期阶段相比,标志着一个根本性的转变——在早期阶段,一次成功的攻击往往意味着永久性的损失。

对2026年及以后的影响

2025年的数据展现了朝鲜作为加密威胁行为者的复杂演变图景。该国发动攻击的次数减少,但破坏性却大幅提升,这表明其手段日益老练,且更具耐心。BybitBybit对其年度活动模式的影响表明,朝鲜在成功实施重大盗窃后,会降低行动节奏,转而专注于洗钱。

对于加密货币行业而言,这种演变要求对高价值目标保持高度警惕,并提高对朝鲜特定洗钱模式的检测能力。他们对特定服务类型和转账金额的偏好为检测提供了机会,使他们与其他犯罪分子区分开来,并有助于调查人员识别他们在链上的行为痕迹。

随着朝鲜持续利用加密货币盗窃来资助国家优先事项并规避国际制裁,业界必须认识到,这一威胁行为者的运作规则与典型的网络犯罪分子截然不同。朝鲜在2025年创纪录地减少了74%的已知攻击,这表明我们可能仅仅看到了其活动中最显而易见的部分。2026年的挑战在于,如何在朝鲜关联行为者再次发动类似Bybit规模的攻击之前,检测并阻止这些高影响力的行动。

本网站包含指向第三方网站的链接,这些网站并非由Chainalysis, Inc.或其关联公司(统称“Chainalysis”)控制。访问此类信息并不意味着Chainalysis与该网站或其运营者存在任何关联、认可、批准或推荐关系,Chainalysis亦不对其托管的产品、服务或其他内容承担任何责任。

本资料仅供参考,不构成任何法律、税务、财务或投资建议。读者在做出此类决定前应咨询自身顾问。Chainalysis 对读者因使用本资料而做出的任何决定或任何其他作为或不作为概不承担任何责任。

Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该等材料任何部分的错误、遗漏或其他不准确之处而引起的任何索赔承担责任。

这篇题为“朝鲜推动加密货币盗窃案创下20亿美元的纪录,使历史总盗窃金额达到67.5亿美元”的文章最初发表在Chainalysis网站上。

来源
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
77
收藏
17
评论
相关推荐