作者:Chainalysis
编译:Felix, PANews
针对连年来朝鲜黑客对加密行业的攻击,Chainalysis 在 2025 年黑客攻击报告中着重分析了朝鲜黑客的攻击行径。以下为内容详情。
要点:
- 朝鲜黑客在 2025 年窃取了价值 20.2 亿美元的加密货币,同比增长 51%,尽管攻击次数减少,但其累计盗窃总额已达 67.5 亿美元。
- 朝鲜黑客以更少的攻击次数窃取了更多加密货币,经常通过将 IT 工作人员安插进加密服务内部或使用针对高管的复杂冒充策略来实现。
- 朝鲜黑客明显偏爱中文洗钱服务、跨链桥服务和混币协议,重大盗窃事件发生后,其洗钱周期约为 45 天。
- 2025 年,个人钱包遭窃事件激增至 15.8 万起,8 万名用户受害,不过被盗总价值(7.13 亿美元)较 2024 年有所下降。
- 尽管 DeFi 总锁定价值(TVL)有所增加,但 2024 至 2025 年的黑客攻击损失仍然保持在较低水平,这表明安全措施的改进正产生显著效果。
2025 年,加密生态再度面临严峻挑战,被盗资金持续攀升。分析表明,加密盗窃模式呈现四大关键特征:朝鲜黑客仍是主要威胁来源;针对中心化服务的个体攻击愈发严重;个人钱包遭窃事件激增;DeFi 黑客攻击趋势出现意外分化。
总体情况:2025 年被盗金额超 34 亿美元
2025 年 1 月至 12 月初,加密行业被盗金额超过 34 亿美元,其中仅 2 月 Bybit 遭受的攻击就占了 15 亿美元。
数据还揭示了这些盗窃事件的重要变化。个人钱包被盗事件大幅增加,从 2022 年占被盗总价值的 7.3% 上升到 2024 年的 44%。若不是 Bybit 攻击事件影响巨大,2025 年这一比例或将达到 37%。
与此同时,由于针对私钥基础设施和签名流程的复杂攻击,中心化服务正遭受越来越大的损失。尽管这些平台拥有机构资源和专业的安全团队,但仍易受到能够绕过冷钱包控制的威胁。尽管此类入侵事件并不频繁(如下图所示),但一旦发生,会造成巨额被盗资金,在 2025 年第一季度,此类事件造成的损失占总损失的 88%。许多攻击者已经开发出利用第三方钱包集成的方法,并诱使签名者授权恶意交易。
尽管加密安全在某些领域可能有所改善,但被盗金额居高不下表明,攻击者仍能够通过多种途径取得成功。
前三大黑客攻击造成的损失占总损失的 69%,极端值达到中位数的 1000 倍
资金被盗事件历来受极端事件驱动,大多数黑客攻击规模相对较小,但也有少数规模巨大。然而,2025 年的情况出现了恶化:最大规模的黑客攻击与所有事件中位数之间的比率首次突破了 1000 倍的门槛。如今,最大规模攻击中被盗的资金是普通事件中被盗资金的 1000 倍,甚至超过了 2021 年牛市的峰值。这些计算是基于被盗资金在被盗时的美元价值。
这种日益扩大的差距使损失高度集中。2025 年前三大黑客攻击造成的损失占所有损失的 69%,单个事件对年度总损失的影响异常显著。尽管攻击频率可能波动,且随着资产价格的上涨,中位数损失也会增加,但个别重大漏洞造成的潜在损失仍在以更快的速度上升。
尽管已确认的攻击事件有所减少,但朝鲜仍是主要威胁
尽管攻击频率大幅下降,但朝鲜仍是对加密安全构成最严重威胁的国家,其在 2025 年窃取的加密货币资金创下新高,至少达 20.2 亿美元(比 2024 年多 6.81 亿美元),同比增长 51%。就被盗金额而言,这是朝鲜加密货币盗窃案有记录以来最严重的一年,朝鲜发起的攻击占所有入侵事件的 76%,创下历史新高。总体而言,朝鲜窃取加密货币的累计总额,最低估值达到 67.5 亿美元。
朝鲜黑客越来越多地通过将 IT 人员(主要攻击手段之一)安插加密服务内部以获取特权访问权限并实施重大攻击。今年创纪录的攻击事件在一定程度上可能反映出,朝鲜更多地依赖 IT 人员在交易所、托管机构和 Web3 公司中的渗透,这可以加快初始访问和横向移动,从而为大规模盗窃创造条件。
然而,最近与朝鲜有关联的黑客组织彻底颠覆了这种 IT 工作者模式。他们不再只是申请职位并以员工身份潜入,而是越来越多地冒充知名 Web3 和 AI 公司的招聘人员,精心策划虚假的招聘流程,最终以“技术筛选”为幌子,获取受害者的登录凭证、源代码以及其当前雇主的 VPN 或单点登录(SSO)访问权限。在高管层面,类似的社交工程手段以虚假的战略投资者或收购方的接触形式出现,他们利用推介会议和伪尽职调查来探查敏感的系统信息以及潜在的高价值基础设施——这种演变直接建立在朝鲜 IT 工作者欺诈行动的基础之上,并且聚焦于具有战略重要性的 AI 和区块链公司。
正如过去几年所见,朝鲜持续实施的网络攻击价值远高于其他黑客。如下图所示,从 2022 年至 2025 年,朝鲜黑客攻击占据最高价值区间,而非朝鲜黑客攻击在所有盗窃规模中分布较为正常。这种模式进一步表明,当朝鲜黑客发动攻击时,他们瞄准大型服务,力求造成最大影响。
今年创纪录的损失来自已知事件的大幅减少。这种转变(事件减少但损失大幅增加)反映了 2025 年 2 月 Bybit 大规模黑客攻击事件的影响。
朝鲜独特的洗钱模式
2025 年初大量被盗资金的涌入,揭示了朝鲜黑客如何大规模清洗加密货币。他们的模式与其他网络犯罪分子截然不同,并且随着时间的推移而演变。
朝鲜的洗钱活动呈现出明显的“分档”模式,超 60% 的交易量集中在 50 万美元以下。相比之下,其他黑客在链上转移的资金中,超过 60% 是在 100 万至 1000 万美元以上的区间内分批进行。尽管朝鲜每次洗钱的金额都高于其他黑客,但他们却将链上转账分成更小的批次,凸显了洗钱手段的复杂性。
与其他黑客相比,朝鲜在某些洗钱环节表现出明显的偏好:
朝鲜黑客往往倾向于:
- 中文资金转移和担保服务(+ 355% 至 1000% 以上):这是最鲜明的特点,严重依赖中文担保服务以及由众多可能合规控制较弱的洗钱运营商组成的洗钱网络。
- 跨链桥服务(+97%):高度依赖跨链桥在不同区块链之间转移资产,并试图增加追踪难度。
- 混币服务(+100%):更多地使用混币服务来试图掩盖资金流动。
- Huione 等专业服务(+356%):战略性地使用特定服务来辅助其洗钱活动。
其他参与洗钱活动的黑客往往倾向于:
- 借贷协议(-80%):朝鲜避免使用这些 DeFi 服务,显示出其与更广泛的 DeFi 生态系统集成有限
- 无 KYC 交易所(-75%):令人惊讶的是,其他黑客比朝鲜更多使用无 KYC 交易所
- P2P 交易所( -64%):朝鲜对 P2P 平台的兴趣有限
- CEX( -25%):其他黑客与传统交易所平台的直接互动更多
- DEX( -42%):其他黑客更倾向于使用 DEX,因其具有流动性高和匿名性强的特点
这些模式表明,朝鲜的运作受到不同于非国家支持网络犯罪分子的约束和目标的影响。他们大量使用专业的中文洗钱服务和场外(OTC)交易商,这表明朝鲜黑客与亚太地区的非法行为者紧密联系。
朝鲜黑客攻击后被盗资金洗钱的时间线
对 2022-2025 年间归因于朝鲜的黑客事件后链上活动的分析显示,这些事件与盗窃资金在加密生态系统中的流动存在一致模式。在重大盗窃事件之后,盗窃资金遵循一个结构化、多阶段的洗钱路径,这一过程大约持续 45 天:
第一阶段:立即分层(第 0-5 天)
在黑客攻击发生后的最初几天,观察到一系列活动异常活跃,重点在于立即将资金从被盗取的源头转移出去:
- DeFi 协议的被盗资金流动量增幅最大(+370%),成为主要的切入点。
- 混币服务的交易量也大幅增加(+135-150%),构成了第一层混淆。
- 此阶段代表着紧急的“第一步”行动,旨在与最初的盗窃行为划清界限。
第二阶段:初步整合(第 6-10 天)
进入第二周后,洗钱策略转向能帮助资金融入更广泛生态系统的服务:
- KYC 限制较少的交易所(+37%)和 CEX(+32%)开始接收资金流动。
- 第二层混币服务(+76%)洗钱活动以较低的强度继续进行
- 跨链桥接(如 XMRt,+141%)有助于分散和掩盖资金在区块链间的流动
- 这一阶段是关键的过渡时期,资金开始流向潜在的退出渠道
第三阶段:长尾整合(第 20-45 天)
最后阶段明显倾向于能够最终兑换成法币或其他资产的服务:
- 无需 KYC 的交易所(+82%)和担保服务(如土豆单宝,+87%)的使用量显著增长
- 即时交易所(+61%)和中文平台(如汇旺,+45%)成为最终的兑换点
- CEX(+50%)也接收资金,表明存在试图将资金与合法资金混入的复杂尝试
- 监管较少的司法管辖区,例如中文洗钱网络(+33%)和 Grinex(+39%)等平台,完善了这一模式
这种通常为 45 天的洗钱操作窗口为执法和合规团队提供了关键情报。这种模式持续多年,表明朝鲜黑客面临着操作上的限制,这可能与他们获取金融基础设施的渠道有限以及需要与特定中间人协调有关。
尽管这些黑客并不总是遵循这一确切的时间线——有些被盗资金会休眠数月或数年——但这种模式代表了他们在积极洗钱时的典型链上行为。此外,必须认识到此分析中可能存在的盲点,因为某些活动(如私钥转移或场外加密货币兑换法币)在没有佐证情报的情况下不会在链上可见。
个人钱包遭窃:对个人用户的威胁日益加剧
通过对链上模式的分析,以及受害者和行业合作伙伴的报告,可以了解个人钱包遭窃的严重程度,尽管实际遭窃的数量可能要多得多。最低估计,2025 年个人钱包遭窃导致的价值损失占总损失的 20%,低于 2024 年的 44%,这表明在规模和模式上都发生了变化。2025 年的盗窃事件总数飙升至 15.8 万起,几乎是 2022 年记录的 5.4 万起的三倍。受害者人数从 2022 年的 4 万人增加到 2025 年的至少 8 万人。这些显著的增长很可能是由于加密货币的更广泛采用。例如,拥有最多活跃个人钱包的区块链之一 Solana,其盗窃事件数量遥遥领先(约 2.65 万名受害者)。
然而,尽管事件和受害者数量增多,但 2025 年从单个受害者处窃取的美元总金额却从 2024 年的峰值 15 亿美元降至 7.13 亿美元。这表明攻击者的目标用户增多,但每个受害者被盗金额减少。
特定网络的受害数据为哪些领域对加密用户构成最大威胁提供了更多见解。下图展示了针对各网络活跃个人钱包进行调整后的受害数据。以 2025 年每 10 万个钱包的犯罪率来衡量,以太坊和波场的盗窃率最高。以太坊庞大的用户规模表明其盗窃率和受害人数都较高,而波场的排名则显示,尽管其活跃钱包数量较少,但盗窃率仍然较高。相比之下,尽管 Base 和 Solana 的用户基数庞大,但其受害率却较低。
这表明个人钱包在加密生态中的安全风险并非均等。即使技术架构相似,不同区块链的受害率也存在差异,这表明除了技术因素之外,用户群体特征、热门应用和犯罪基础设施等因素在决定盗窃率方面也发挥着重要作用。
DeFi 黑客攻击:分化模式预示市场转变
DeFi 领域在 2025 年的犯罪数据中呈现出独特的模式,与历史趋势明显背离。
数据显示了三个截然不同的阶段:
- 第一阶段(2020-2021 年):DeFi TVL 和黑客攻击损失同步增长
- 第二阶段(2022-2023 年):两项指标同步下降
- 第三阶段(2024-2025 年):TVL 回升,而黑客攻击损失保持稳定
前两个阶段遵循一种直观的模式:面临的风险价值越大,意味着可窃取的价值越多,黑客针对高价值协议的攻击力度也越大。正如银行劫匪 Willie Sutton 所说:“因为那里有钱。”
这使得第三阶段的差异更加显著。DeFi TVL 已从 2023 年的低点显著回升,但黑客攻击造成的损失却并未随之增加。尽管数十亿美元已回流到这些协议,但 DeFi 黑客攻击事件却持续保持较低水平,这代表着一个意义重大的变化。
以下两个因素或许可以解释这种差异:
- 安全性提升:尽管 TVL 不断增长,但黑客攻击率却持续下降,这表明 DeFi 协议可能正在实施比 2020-2021 年期间更有效的安全措施。
- 目标转移:个人钱包盗窃和中心化服务攻击事件的同步增加表明,攻击者的注意力可能正在转移到其他目标。
案例研究:Venus Protocol 的安全应对
2025 年 9 月发生的 Venus 协议事件表明,改进的安全措施正在产生切实的效果。当时,攻击者利用一个被入侵的 Zoom 客户端获取系统访问权限,并诱使一名用户授予其价值 1300 万美元账户的委托权限,这一情况本可能造成灾难性后果。然而,Venus 恰好在一个月前启用了 Hexagate 的安全监控平台。
该平台在攻击发生前 18 小时就检测到了可疑活动,并在恶意交易一发生就立即发出了另一个警报。在 20 分钟内,Venus 就暂停了其协议,阻止了任何资金流动。这种协调一致的反应展示了 DeFi 安全性的演进:
- 5 小时内:完成安全检查后部分功能恢复
- 7 小时内:强制清算攻击者的钱包
- 12 小时内:追回全部被盗资金并恢复服务
最值得一提的是,Venus 通过了一项治理提案,冻结了攻击者仍控制的 300 万美元资产;攻击者不仅未能获利,反而损失了资金。
这一事件表明 DeFi 安全基础设施有了切实的改进。主动监测、快速响应能力以及能够果断采取行动的治理机制相结合,使整个生态系统更加灵活和有韧性。尽管攻击仍时有发生,但能够检测、应对甚至逆转攻击的能力,与早期 DeFi 时代成功攻击往往意味着永久性损失的情况相比,已发生了根本性的转变。
对 2026 年及以后的影响
2025 年的数据展现了朝鲜作为加密行业最大威胁的复杂演变图景。该国发动攻击的次数减少,但破坏性却大幅提升,这表明其手段愈发高明且更具耐心。Bybit 事件对其年度活动模式的影响表明,当朝鲜成功实施重大盗窃时,它会降低行动节奏,转而专注于洗钱。
对于加密行业而言,这种演变要求加强对高价值目标保持警惕,并提高对朝鲜特定洗钱模式的识别能力。他们对特定服务类型和转账金额的持续偏好为检测提供了机会,使其有别于其他犯罪分子,并有助于调查人员识别其链上行为特征。
随着朝鲜持续利用加密货币盗窃来资助国家优先事项并规避国际制裁,加密行业必须认识到,朝鲜的运作规律与典型的网络犯罪分子截然不同。朝鲜在 2025 年创纪录的表现(在已知攻击减少 74% 的情况下),表明当下可能只看到了其活动的最明显部分。2026 年的挑战在于,如何在朝鲜再次发动类似 Bybit 规模的攻击之前,检测并阻止这些行动。
相关阅读:加密安全损失激增:攻击次数减少,但破坏力显著上升
