根据区块链情报公司 TRM Labs 的一份新报告,朝鲜黑客窃取了今年迄今为止网络犯罪分子窃取的所有加密货币的近四分之三——这并非通过持续不断的攻击活动,而是通过在 4 月份针对去中心化金融平台的两次精心策划的盗窃行动。
这两起事件——4月 1 日Drift Protocol 遭受 2.85 亿美元的攻击和 4 月 18 日Kelp DAO 遭受 2.92 亿美元的攻击——虽然仅占记录在案的事件总数的 3%,但加起来却占 4 月份所有加密货币黑客攻击损失的 76%。
总而言之,TRM Labs 估计,自 2017 年以来,与朝鲜有关联的黑客已从加密协议和项目中窃取了超过 60 亿美元,其中包括业内一些最严重的盗窃案。
这些数据反映出与朝鲜政府有关联的特工人员对加密货币的盗窃活动日益集中。平壤在全球加密货币黑客攻击损失中所占的份额已从2020年和2021年的不足10%增长到2022年的22%,2023年的37%,2024年的39%,以及2025年的64%。截至2026年4月,这一数字将达到76%,创下历史最高持续份额纪录。
Drift Protocol 遭受的攻击以其极强的耐心而著称。链上攻击始于 3 月 11 日,此后数月间,朝鲜代理人与 Drift 员工进行了多次线下会面——TRM 分析师称,这种策略在朝鲜旷日持久的加密货币黑客攻击行动中可能是前所未有的。
攻击者利用了Solana 的一项名为“持久随机数”(durable nonce)的功能,该功能允许预先签名的交易被保留并在稍后时间执行。4 月 1 日,在大约 12 分钟内执行了 31 笔提现操作,盗走了包括USDC和 JLP 在内的真实资产。被盗资金迅速转移到以太坊,并一直处于休眠状态。
Kelp DAO 攻击采取了不同的策略。攻击者攻破了两个内部 RPC 节点,然后对外部节点发起拒绝服务攻击,迫使桥接的唯一验证者依赖于被污染的数据源。这些节点错误地报告底层资产已在源链上被销毁,而实际上并未发生此类操作,导致约 116,500 个 rsETH(价值约 2.92 亿美元)从以太坊桥接合约中被盗走。
在Kelp DAO被盗事件发生后,Arbitrum安全委员会行使紧急权力, 冻结了网络上遗留的约7500万美元被盗资金——这一罕见的干预措施引发了迅速的洗钱行动。随后,约1.75亿美元的ETH被兑换成比特币,其中大部分是通过THORChain一个无需客户身份验证的跨链流动性协议——完成的。
THORChain 处理了2025 年Bybit泄露事件(业内最严重的盗窃案,超过 14 亿美元的加密货币被盗)和 2026 年 Kelp DAO 黑客事件的大部分收益,将数亿美元的被盗ETH兑换成比特币,而没有任何运营商愿意冻结或拒绝转账。
TRM 分析师指出,该组织似乎正在磨练其工具:分析师开始推测,朝鲜的攻击者正在将人工智能工具融入到他们的侦察和社会工程工作流程中,这一发展与 Drift 等攻击的日益精准性相一致,Drift 需要数周时间有针对性地操纵复杂的区块链机制。
