朝鮮推動加密貨幣盜竊案創下20億美元的紀錄,使歷史總盜竊金額達到67.5億美元。

avatar
Chainalysis
12-18
本文為機器翻譯
展示原文

太長不看

  • 朝鮮黑客在 2025 年竊取了價值 20.2 億美元的加密貨幣,同比增長 51%,儘管攻擊次數減少,但其總竊取金額仍達到 67.5 億美元。
  • 朝鮮通過派遣 IT 人員進入加密服務領域或使用複雜的冒充策略來針對高管,從而以更少的事件實現更大的盜竊規模。
  • 朝鮮明顯偏愛中文洗錢服務、橋樑服務和混合協議,重大盜竊案發生後,洗錢週期為 45 天。
  • 2025 年,個人錢包被盜事件激增至 158,000 起,影響了 80,000 名不同的受害者,但被盜總金額(7.13 億美元)較 2024 年有所下降。
  • 儘管 DeFi 中的總鎖定價值有所增加,但 2024-2025 年黑客攻擊損失仍然受到抑制,這表明改進的安全措施正在產生有意義的影響。

2025年,加密貨幣生態系統再次面臨挑戰,被盜資金數量持續攀升。我們的分析揭示了加密貨幣盜竊模式的轉變,其主要特徵體現在四個方面:朝鮮民主主義人民共和國(DPRK)作為主要威脅行為者的Persistence;針對中心化服務的個人攻擊日益嚴重;個人錢包被盜事件激增;以及去中心化金融(DeFi)黑客攻擊趨勢出現意想不到的分化。

這些模式從數據中清晰顯現,揭示了不同平臺類型和受害者群體中加密貨幣盜竊行為的顯著變化。隨著數字資產的普及和估值不斷攀升,瞭解這些不斷演變的安全威脅變得日益重要。

總體情況:2025年被盜金額超過34億美元

從 2025 年 1 月到 12 月初,加密貨幣行業遭受了超過 34 億美元的盜竊,其中僅2 月份Bybit的被盜事件就造成了 15 億美元的損失。

除了總體數據之外,這些數據還揭示了盜竊案件構成方面的重要變化。個人錢包被盜案件大幅增加,從2022年僅佔被盜總價值的7.3%上升到2024年的44%。如果不是因為Bybit攻擊造成的巨大影響,2025年這一比例本應為37%。

與此同時,由於私鑰洩露,中心化服務正遭受日益嚴重的損失。儘管這些平臺擁有機構資源和專業的安全團隊,但由於這一根本性的安全挑戰,它們仍然不堪一擊。雖然此類洩露事件並不常見(如下圖所示),但一旦發生,其規模仍然巨大,導致被盜數據量佔比極高,在2025年第一季度佔總損失的88%。

Persistence高企的盜竊量表明,雖然加密安全某些方面可能有所改善,但攻擊者仍然能夠通過多種途徑取得成功。

前三大黑客攻擊造成的損失佔總損失的 69%,其中異常值達到中位數的 1000 倍。

資金被盜事件歷來受極端事件驅動,大多數黑客攻擊規模相對較小,但也有一些規模巨大。然而,2025 年的情況卻呈現出驚人的增長趨勢:最大黑客攻擊與所有事件中位數的比率首次突破了 1000 倍Threshold。如今,最大攻擊中被盜的資金是普通攻擊中被盜資金的 1000 倍,甚至超過了 2021 年牛市的峰值。這些計算均基於被盜資金在被盜時的美元價值。

這種日益擴大的差距導致損失高度集中。2025 年排名前三的黑客攻擊事件將佔所有服務損失的 69%,這意味著單個事件對年度總損失的影響將異常巨大。雖然事件數量可能會波動,且損失中位數會隨著資產價格上漲而增加,但發生災難性單次攻擊的可能性正在以更快的速度增長。

儘管已確認的事件有所減少,但朝鮮仍然是加密貨幣威脅的主要行為體。

儘管攻擊頻率經評估大幅下降,但朝鮮民主主義人民共和國(朝鮮)仍然是加密貨幣安全面臨的最重大國家級威脅,其被盜資金數額創下歷史新高。2025年,朝鮮黑客竊取了至少20.2億美元的加密貨幣(比2024年增加6.81億美元),同比增長51%。就被盜金額而言,這是朝鮮加密貨幣盜竊案有記錄以來最嚴重的一年,朝鮮發起的攻擊也佔所有服務入侵事件的76%,創下歷史新高。總體而言,2025年的數據使朝鮮竊取的加密貨幣資金累計總額的最低估計值達到67.5億美元。

朝鮮威脅行為者正日益取得這些驚人的成果,他們通常通過將IT人員( 朝鮮的主要攻擊手段之一)安插到加密服務中,以獲取特權訪問權限並實施高影響力攻擊。今年創紀錄的攻擊數量可能部分反映出,他們更加依賴IT人員滲透交易所、託管機構和Web3公司,這可以加速初始訪問和橫向移動,從而為大規模盜竊做好準備。

然而,最近與朝鮮有關聯的黑客組織徹底顛覆了這種IT從業者模式。他們不再僅僅是申請職位並融入企業,而是越來越多地冒充知名Web3和人工智能公司的招聘人員,精心策劃虛假的招聘流程,最終以“技術篩選”為名,竊取受害者的憑證、源代碼以及VPN或SSO訪問權限。在企業高管層面,類似的社會工程學手法也以虛假的戰略投資者或收購方身份出現,他們通過推介會和偽盡職調查來試探敏感系統信息和潛在的高價值基礎設施訪問路徑——這種演變直接建立在朝鮮針對IT從業者的欺詐行動及其對具有戰略意義的人工智能和區塊鏈公司的關注之上。

正如我們過去幾年所見,朝鮮持續發動價值遠高於其他威脅行為者的攻擊。如下表所示,2022年至2025年間,歸因於朝鮮的黑客攻擊佔據了最高價值區間,而非朝鮮的黑客攻擊則呈現出更為均勻的分佈,損失金額分佈較為均衡。這一模式進一步表明,朝鮮黑客發動攻擊時,會瞄準大型服務併力求造成最大影響。

今年創紀錄的收益來自數量顯著減少的已知事件。這種轉變——更少的事件帶來更大的收益——反映了2025年2月Bybit大規模黑客攻擊事件的影響。

朝鮮獨特的洗錢模式

2025年初大量被盜資金的湧入,以前所未有的方式揭示了與朝鮮有關聯的犯罪分子如何大規模洗錢。他們的作案手法與其他網絡犯罪分子截然不同,並且隨著時間的推移而不斷演變,這暴露了他們當前的運作偏好和潛在的漏洞。

朝鮮的洗錢活動呈現出獨特的區間模式,超過60%的交易量集中在50萬美元以下的轉賬金額。相比之下,其他洗錢者超過60%的資金以100萬美元至1000萬美元以上的單筆金額分批上鍊。儘管朝鮮每次洗錢的金額都高於其他洗錢威脅者,但他們卻將鏈上支付分成更小的批次,這體現了其洗錢手段的複雜性。

與其他洗錢者相比,朝鮮在某些洗錢環節表現出明顯的偏好:

朝鮮黑客往往更傾向於:

  • 中文資金流動和擔保服務(增長355%至1000%以上):這是其最顯著的特徵,表明其嚴重依賴中文擔保服務和由眾多洗錢運營商組成的洗錢網絡,而這些運營商的合規控制可能較弱。
  • 橋接服務(差異高達97%):嚴重依賴跨鏈橋在區塊鏈之間轉移資產,並試圖增加追溯難度。
  • 混合服務(差異增加 100%):更多地使用混合服務來試圖掩蓋資金流動。
  • 像Huione這樣的專業服務(+356%):戰略性地利用特定服務來促進其洗錢活動。

其他挪用資金者往往更傾向於:

  • 借貸協議(差異達80%):朝鮮避免使用這些DeFi服務,表明其與更廣泛的DeFi生態系統的整合程度有限。
  • 無需 KYC 的交易平臺(差異達 75%):令人驚訝的是,其他威脅行為者使用無需 KYC 的交易平臺的頻率高於朝鮮。
  • P2P交易(差異-64%):朝鮮對點對點平臺表現出有限的興趣
  • 中心化交易所(差異-25%):其他犯罪分子與傳統交易所平臺的互動更為直接
  • 去中心化交易所(DEX)(差異 -42%):其他威脅行為者更傾向於使用 DEX,因為它們具有流動性和匿名性。

這些模式表明,朝鮮民主主義人民共和國的運作受到的限制和目標與非國家支持的網絡犯罪分子不同。他們大量使用專業的中文洗錢服務和場外交易(OTC)交易商,表明朝鮮的威脅行為者與亞太地區的非法行為者緊密相連,這與平壤歷史上利用中國網絡進入國際金融體系的做法相符。

朝鮮黑客事件後被盜資金洗錢的時間線

我們對朝鮮涉嫌黑客攻擊事件發生後鏈上活動的分析揭示了這些事件與被盜資金在加密貨幣生態系統中流動之間存在一致的關聯模式。在2022年至2025年發生的重大盜竊事件之後,被盜資金遵循著一個結構化的、多階段的洗錢路徑,該路徑大約持續45天:

第一階段:立即分層穿衣(第0-5天)

在黑客攻擊發生後的最初幾天,我們觀察到一系列異常活躍的活動,這些活動旨在立即將資金與盜竊來源隔離開來:

  • DeFi協議的資金被盜流量增幅最為顯著(+370%),因為它們是主要的入口點。
  • 混合服務量大幅增長(+135-150%),造成了第一層混淆。
  • 這一階段代表著為與最初的盜竊行為劃清界限而採取的緊急“第一步”行動。

第二階段:初步整合(第6-10天)

第二週開始後,策略轉向能夠幫助將資金融入更廣泛生態系統的服務:

  • KYC流程有限的交易所(+37%)和中心化交易所(+32%)開始接收資金流。
  • 二級混洗服務(+76%)繼續進行洗滌過程,但強度有所降低。
  • 像 XMRt (+141%) 這樣的跨鏈橋有助於分散和隱藏跨區塊鏈的資金流動。
  • 這一階段代表著資金開始流向潛在退出渠道的關鍵過渡期。

第三波:長尾整合(第20-45天)

最後階段明顯偏好能夠最終促成貨幣或其他資產轉換的服務:

  • 無需KYC的交易所(+82%)和土豆單寶等擔保服務(+87%)均出現顯著增長。
  • 即時交易平臺(+61%)和滙豐等中文平臺(+45%)是最終的轉化渠道。
  • 中心化交易所(+50%)也接收資金,這表明存在複雜的企圖,即混入合法資金流。
  • 監管較少的司法管轄區,例如中文洗錢網絡(+33%)和 Grinex(+39%)等平臺,也構成了這一模式。

洗錢活動通常持續45天,這一窗口期為執法和合規團隊提供了至關重要的情報。這種模式多年來Persistence,表明與朝鮮有關聯的行動者面臨著行動上的限制,這可能與他們獲取金融基礎設施的渠道有限以及需要與特定協助者協調有關。

雖然這些犯罪分子並非總是遵循這一時間線——有些被盜資金會沉寂數月甚至數年——但這種模式代表了他們在積極洗錢時典型的鏈上行為。此外,還需注意此分析中可能存在的盲點,因為某些活動,例如私鑰轉移或場外加密貨幣兌法幣交易,如果沒有其他情報佐證,在鏈上是無法顯示的。

個人錢包安全漏洞:對個人用戶的威脅日益加劇

通過對鏈上模式的分析,以及受害者和行業合作伙伴的報告,我們可以瞭解個人錢包被盜的規模,但實際的被盜數量可能遠高於此。根據我們的最低估計,到2025年,個人錢包被盜將佔所有被盜金額的20%,低於2024年的44%,這代表著規模和模式的演變。2025年,盜竊事件總數將飆升至15.8萬起,幾乎是2022年記錄的5.4萬起的三倍。獨立受害者人數從2022年的4萬人增加到2025年的至少8萬人。這些顯著增長很可能是由於加密貨幣的普及。例如, Solana是活躍個人錢包數量最多的區塊鏈之一,其事件數量也遙遙領先(約2.65萬名受害者)。

儘管攻擊事件和受害者人數有所增加,但從單個受害者處被盜的總金額實際上從2024年的峰值15億美元下降到2025年的7.13億美元。這表明攻擊者正在瞄準更多用戶,但每個受害者被盜的金額卻更少。

網絡特定的受害數據能夠更深入地揭示哪些領域對加密貨幣用戶構成最大風險。下圖展示了根據各網絡活躍個人錢包數量調整後的受害數據。若以2025年每10萬個錢包的犯罪率來衡量,以太坊和TRON )的盜竊率最高。以太坊龐大的用戶規模表明其盜竊率和受害人數都較高,而波場的排名則顯示,儘管其活躍錢包數量較少,但盜竊率仍然較高。相比之下,Base和Solana儘管用戶基數龐大,但受害率卻較低。

這些可衡量的差異凸顯出,個人錢包安全風險在整個加密生態系統中並非千篇一律。即使技術架構相似,不同區塊鏈的受害率也存在差異,這表明除了技術因素之外,用戶群體特徵、熱門應用和犯罪基礎設施等因素在決定盜竊率方面也發揮著重要作用。

DeFi黑客攻擊:分化模式預示著市場轉變

DeFi 行業在 2025 年的犯罪數據中呈現出獨特的模式,與歷史趨勢明顯背離。

數據顯示了三個不同的階段:

  • 第一階段(2020-2021年):DeFi總鎖定價值(TVL)和黑客攻擊損失同步增長。
  • 第二階段(2022-2023年):兩項指標均下降。
  • 第三階段(2024-2025年):總觀看量恢復,黑客攻擊造成的損失得到控制。

前兩個階段遵循一種直觀的模式:風險價值越大,意味著可竊取的價值就越高,犯罪分子也會投入更多精力去竊取高價值協議。正如臭名昭著的銀行劫匪威利·薩頓所說:“因為錢都在那裡。”

這使得第三階段與歷史先例的差異更加引人注目。DeFi 總鎖定價值 (TVL) 已從 2023 年的低點顯著回升,但黑客攻擊損失卻並未隨之減少。儘管數十億美元的資金已回流到這些協議,但 DeFi 黑客攻擊事件仍持續保持較低水平,這代表著一個意義重大的變化。

造成這種差異的原因可能有兩點:

  • 安全性提高:儘管 TVL 不斷增長,但黑客攻擊率持續下降,這表明 DeFi 協議可能正在實施比 2020-2021 年期間更有效的安全措施。
  • 目標替換:個人錢包盜竊和集中式服務入侵事件同時增加,表明攻擊者的注意力可能正在轉移到其他目標。

案例研究:金星協議的安全響應

2025年9月發生的Venus Protocol事件充分展現了安全措施的改進如何帶來切實的影響。當時,攻擊者利用被入侵的Zoom客戶端獲取系統訪問權限,並誘騙用戶授予其對價值1300萬美元賬戶的代理權限,後果不堪設想。然而,Venus在事件發生前一個月剛剛部署了Hexagate的安全監控平臺。

該平臺在攻擊發生前18小時檢測到可疑活動,並在惡意交易發生後立即發出警報。20分鐘內,Venus暫停了其協議,阻止了所有資金轉移。這種協調一致的應對措施展現了DeFi安全性的發展:

  • 5小時內:安全檢查後部分功能已恢復
  • 7小時內:強制清算攻擊者的錢包
  • 12小時內:全部追回被盜資金並恢復服務

最引人注目的是,金星通過了一項治理提案,凍結了攻擊者仍控制的 300 萬美元資產;攻擊者不僅沒有獲利,反而還賠了錢。

此次事件表明,DeFi 安全基礎設施已取得顯著進步。主動監控、快速響應能力以及能夠果斷行動的治理機制相結合,使整個生態系統更加敏捷和穩健。儘管攻擊仍然時有發生,但檢測、響應甚至逆轉攻擊的能力,與 DeFi 早期階段相比,標誌著一個根本性的轉變——在早期階段,一次成功的攻擊往往意味著永久性的損失。

對2026年及以後的影響

2025年的數據展現了朝鮮作為加密威脅行為者的複雜演變圖景。該國發動攻擊的次數減少,但破壞性卻大幅提升,這表明其手段日益老練,且更具耐心。BybitBybit對其年度活動模式的影響表明,朝鮮在成功實施重大盜竊後,會降低行動節奏,轉而專注於洗錢。

對於加密貨幣行業而言,這種演變要求對高價值目標保持高度警惕,並提高對朝鮮特定洗錢模式的檢測能力。他們對特定服務類型和轉賬金額的偏好為檢測提供了機會,使他們與其他犯罪分子區分開來,並有助於調查人員識別他們在鏈上的行為痕跡。

隨著朝鮮持續利用加密貨幣盜竊來資助國家優先事項並規避國際制裁,業界必須認識到,這一威脅行為者的運作規則與典型的網絡犯罪分子截然不同。朝鮮在2025年創紀錄地減少了74%的已知攻擊,這表明我們可能僅僅看到了其活動中最顯而易見的部分。2026年的挑戰在於,如何在朝鮮關聯行為者再次發動類似Bybit規模的攻擊之前,檢測並阻止這些高影響力的行動。

本網站包含指向第三方網站的鏈接,這些網站並非由Chainalysis, Inc.或其關聯公司(統稱“Chainalysis”)控制。訪問此類信息並不意味著Chainalysis與該網站或其運營者存在任何關聯、認可、批准或推薦關係,Chainalysis亦不對其託管的產品、服務或其他內容承擔任何責任。

本資料僅供參考,不構成任何法律、稅務、財務或投資建議。讀者在做出此類決定前應諮詢自身顧問。Chainalysis 對讀者因使用本資料而做出的任何決定或任何其他作為或不作為概不承擔任何責任。

Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性,並且不對因該等材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠承擔責任。

這篇題為“朝鮮推動加密貨幣盜竊案創下20億美元的紀錄,使歷史總盜竊金額達到67.5億美元”的文章最初發表在Chainalysis網站上。

來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
77
收藏
17
評論
相關推薦