*本文為自動翻譯版本,請以原文為準。
概括
- 預計到2025年,朝鮮黑客將竊取價值20.2億美元的加密資產,比上一年增長51%,使總損失達到67.5億美元。攻擊次數呈下降趨勢。
- 朝鮮通過在少數加密貨幣服務中安插 IT 人員,並利用複雜的冒充技術攻擊管理層,成功從這些服務中竊取了鉅額資金。
- 朝鮮偏愛使用中文洗錢服務、橋接服務和混合協議,並且往往在大規模盜竊發生後約 45 天內完成洗錢。
- 2025 年,個人錢包被盜事件激增至 158,000 起,受害者達 80,000 人,但總損失(7.13 億美元)比 2024 年有所下降。
- 儘管去中心化金融 (DeFi) 中持有的資產總價值 (TVL) 有所增加,但 2024-2025 年黑客攻擊造成的損失卻得到了控制,這表明加強安全措施可能正在發揮作用。
2025年對於加密貨幣生態系統而言又是充滿挑戰的一年,盜竊案件數量持續攀升。我們的分析揭示了加密貨幣盜竊模式的轉變,主要體現在四個方面:朝鮮仍然是最大的威脅;針對中心化服務的定向攻擊愈發嚴重;消費者錢包被盜的風險日益增加;去中心化金融(DeFi)領域的黑客攻擊趨勢也開始出現分化跡象。
這些趨勢在數據中清晰可見,凸顯了不同平臺和受害者群體中加密貨幣盜竊形勢的顯著變化。隨著數字資產持續增長並不斷攀升至新高,瞭解不斷演變的安全威脅變得日益重要。
總體情況:2025年被盜金額超過34億美元
從 2025 年 1 月到 12 月初,加密貨幣行業被盜金額超過 34 億美元,其中僅2 月份對 Bybit 的攻擊就造成了 15 億美元的損失。
在這個總數背後,盜竊案的構成也發生了重要的變化:因個人錢包被盜造成的損失比例將顯著增加,從 2022 年佔總數的 7.3% 增加到 2024 年的 44%,如果 Bybit 事件沒有產生重大影響,2025 年這一比例本應為 37%。
與此同時,由於私鑰洩露,中心化服務遭受了巨大損失。儘管這些平臺擁有豐富的資源和專業的安全團隊,但由於根本性的安全挑戰,它們仍然不堪一擊。雖然此類事件發生頻率較低(見下圖),但一旦發生,後果極其嚴重,在2025年第一季度造成的損失佔總損失的88%。
持續高額的盜竊金額表明,雖然加密貨幣安全在某些方面有所改善,但攻擊者仍然可以通過多種方法取得成功。
前三大黑客攻擊事件造成的損失佔總損失的 69%,損失差距擴大了 1000 多倍。
雖然被盜資金的轉移歷來都是由規模異常巨大的事件推動的,但這一趨勢在2025年更加顯著。有史以來最大的黑客攻擊事件與總體中位數的比率首次超過了1000倍。最大的幾起事件竊取的資金是普通事件的1000倍,甚至超過了2021年牛市的峰值(以事件發生時的美元計)。
這種日益擴大的差距顯著加劇了損失的集中性。2025 年排名前三的黑客攻擊事件佔所有服務損失的 69%,單次事件對年度總損失的影響尤為巨大。雖然事件數量波動較大,且中位損失會隨著資產價格上漲而增加,但災難性損失的風險正在加速上升。
儘管朝鮮加密貨幣數量有所下降,但它仍然是最大的加密貨幣威脅。
朝鮮民主主義人民共和國(朝鮮)仍然是加密貨幣安全面臨的最大國家威脅,儘管分析顯示攻擊頻率顯著下降,但其竊取加密貨幣的金額仍然屢創新高。2025年,朝鮮黑客竊取了至少價值20.2億美元的加密貨幣,比上一年增長了51%(比2024年增長了6.81億美元)。就金額而言,這是有史以來最糟糕的一年,朝鮮發起的攻擊佔所有服務漏洞的76%,創下歷史新高。這使得朝鮮加密貨幣被盜的累計總額至少達到67.5億美元。
朝鮮攻擊者主要利用加密貨幣服務中的IT人員獲取特權訪問權限並實施大規模攻擊。2025年創紀錄的損失很可能是由於攻擊者通過交易所、託管機構和Web3公司的IT人員加強了初始訪問權限和橫向移動能力所致。
近年來,IT從業人員詐騙模式不斷演變,不再侷限於簡單的員工滲透,而是越來越多地冒充知名Web3和人工智能公司的招聘人員,通過虛假的招聘流程獲取受害者的憑證、源代碼以及VPN/SSO訪問權限。針對高管的社交工程技術也日益增多,這些技術源於IT從業人員詐騙,包括冒充戰略投資者或收購公司,通過推介和模擬盡職調查來獲取系統信息和基礎設施訪問權限。
與往常一樣,朝鮮的攻擊數量遠超其他攻擊者。如下圖所示,2022年至2025年間,與朝鮮相關的黑客攻擊集中在攻擊數量最大的範圍內,而非朝鮮的攻擊則分佈更為均勻。朝鮮的攻擊目標是大型服務,以求最大程度地擴大影響。
儘管確診病例數量大幅下降,但 2025 年的損失仍然創下歷史新高,這被認為主要是由於 2 月份的 Bybit 事件造成的。
朝鮮獨特的洗錢模式
2025 年初的大量湧入,以前所未有的方式揭示了朝鮮行為者如何大規模洗錢加密資產,暴露了他們獨特的手段、操作偏好和弱點,使他們與其他網絡犯罪分子區別開來。
朝鮮的洗錢活動呈現出一種獨特的模式,超過60%的資金集中在50萬美元以下的轉賬中。相比之下,其他犯罪分子主要轉移100萬至1000萬美元的大額資金。朝鮮雖然竊取的金額巨大,但卻將鏈上轉賬拆分成較小的金額,這體現了其洗錢活動的複雜性。
與其他犯罪分子相比,朝鮮更傾向於使用以下幾種洗錢方式:
- 中文匯款和抵押服務(增長 355% 至 1000% 或更多):這些服務最具特色,依賴於講中文的洗錢網絡,洗錢者眾多,合規控制往往很薄弱。
- 橋接服務(+97%):利用區塊鏈之間的資產轉移,使追蹤變得複雜。
- 混合服務(+100% 差異):常用於隱藏資金流動。
- Huione 等專業服務(+356%):戰略性地使用特定服務來促進清潔。
其他犯罪分子則專注於:
- 借貸協議(-80% 差異):朝鮮對這些去中心化的金融服務幾乎沒有用處。
- 無需 KYC 的交易(-75% 的差異):令人驚訝的是,其他犯罪分子比朝鮮人更常使用無需 KYC 的交易。
- P2P 交易平臺(-64% 差異):朝鮮對 P2P 平臺興趣不大。
- 中心化交易所(-25% 差異):其他犯罪分子更多地與傳統交易所互動。
- 去中心化交易所 (DEX)(-42% 差異):其他犯罪分子看重 DEX 的流動性和匿名性。
這些模式表明,朝鮮的運作受到的限制和目標與典型的網絡犯罪分子不同。使用中文洗錢服務和場外交易商,與朝鮮行為者與亞太地區非法網絡的密切合作,以及他們歷史上利用中國網絡進入國際金融體系的做法相符。
朝鮮黑客事件後洗錢活動的時間線
對朝鮮相關黑客攻擊事件發生後的鏈上活動進行分析,可以發現存在一個多波次的洗錢鏈,其中被盜資金會在大約 45 天的時間內被逐步轉移:
第一階段:立即分層穿衣(第0-5天)
黑客攻擊發生後,你會立即採取迅速行動,與你的資金來源撇清關係:
- 去中心化金融(DeFi)協議的資金流入最為顯著(+370%)。
- 混合服務也出現了顯著增長(+135-150%),首次形成了模糊層。
- 此階段的目的是通過“初步行動”來分離資金。
第二波:早期鞏固期(第6-10天)
進入第二週,我們將轉向整合整個生態系統資金的策略:
- 流入設有 KYC 限制的交易所(+37%)和中心化交易所(+32%)的資金將開始。
- 二級混合服務(+76%)仍然被用於洗錢,但強度有所降低。
- 跨鏈橋(例如 XMRt,上漲 141%)可以分散和混淆資金。
- 這一階段是資金退出的重要過渡時期。
第三浪:長尾盤整(第20-45天)
在最後階段,能夠幫助將貨幣兌換成法定貨幣或其他資產的服務更受歡迎:
- 無需 KYC 的交易平臺(+82%)和土豆單寶等抵押服務(+87%)大幅增長。
- 即時兌換(+61%)和滙豐等中國平臺(+45%)將成為最終的兌換點。
- 中心化交易所(增長 50%)也成為資金流入的目的地,一些交易所試圖將這些資金與合法資金混合。
- 來自監管較少地區的平臺,如中國洗錢網絡(+33%)和 Grinex(+39%),也符合這一趨勢。
這 45 天的清理窗口期為執法和合規官員提供了有用的見解:這種模式在多年的持續性表明,與朝鮮有關聯的行為者獲得金融基礎設施的渠道有限,需要與特定的合作者合作。
雖然並非所有被盜資金都遵循這一時間線,有些情況下資金會被存放數月甚至數年,但這卻是洗錢活動期間鏈上行為的典型特徵。此外,值得注意的是,一些未在鏈上顯示的活動,例如私鑰轉移和場外法定貨幣交易,如果沒有其他信息,可能會成為分析中的盲點。
個人錢包洩露:對個人用戶日益嚴重的威脅
通過鏈上模式分析以及受害者和行業合作伙伴的報告,零售錢包洩露事件的規模正變得越來越清晰。雖然實際洩露事件的數量可能高於估計值,但保守估計表明,到2025年,零售錢包洩露事件將佔所有洩露事件的20%,低於2024年的44%。事件數量將達到15.8萬起,幾乎是2022年5.4萬起的三倍。受害者人數也將翻一番,從2022年的4萬人增加到2025年的至少8萬人。加密貨幣的日益普及也是推動這一增長的因素之一。例如,Solana是擁有最活躍的零售錢包和最多受害者(約2.65萬人)的區塊鏈之一。
雖然網絡攻擊事件和受害者人數都在增加,但預計個人損失總額將從2024年的15億美元下降到2025年的7.13億美元。儘管攻擊者瞄準的用戶越來越多,但人均損失卻呈下降趨勢。
按網絡劃分的損失數據也揭示了哪些區域風險較高。下圖顯示了根據各區塊鏈活躍錢包數量調整後的損失率。2025 年,以太坊和波場 (Tron) 的盜竊率最高。以太坊的案件數量和受害者人數眾多,而波場儘管活躍錢包數量較少,但損失率也很高。另一方面,Base 和 Solana 儘管用戶數量龐大,但損失率卻很低。
這些差異表明,個人錢包面臨的安全風險在整個加密貨幣生態系統中並不一致。即使技術基礎設施相似,不同區塊鏈的受害率差異也並非完全由技術因素造成,而是用戶群體特徵、熱門應用和犯罪網絡等其他因素所致。
DeFi黑客攻擊:與往年不同的市場趨勢
在去中心化金融(DeFi)領域,2025 年的犯罪數據顯示,犯罪模式與歷史趨勢明顯不同。
數據分析得出三個階段:
- 第一階段(2020-2021 年):DeFi TVL(持有的總資產)和黑客攻擊損失同步增加。
- 第二階段(2022-2023年):兩項指標均下降。
- 第三階段(2024-2025 年):TVL 恢復,但黑客攻擊造成的損失仍然可控。
前兩個階段符合直覺:風險資產越多,犯罪分子可攻擊的目標就越多,面臨的攻擊也就越多。然而,在2024-2025年,即使總損失值(TVL)顯著回升,黑客攻擊造成的損失卻沒有增加,這造成了一種不尋常的偏差。
造成這種差異可能有以下兩個原因:
- 安全不斷提升:儘管 TVL 不斷增加,但黑客攻擊率卻持續保持低位,這可能表明 DeFi 協議正在採用有效的安全措施。
- 攻擊目標的轉變:隨著個人錢包被盜和對中心化服務的攻擊日益增多,攻擊者可能會將注意力轉移到其他領域。
案例研究:金星協議安全措施
2025年9月發生的Venus Protocol事件堪稱安全措施演進的典型例證。攻擊者利用被入侵的Zoom客戶端滲透系統,誘騙受害者授予其對一個價值1300萬美元賬戶的委託權限。雖然這通常會造成致命的後果,但Venus在一個月前部署了Hexagate安全監控平臺。
該平臺在攻擊發生前18小時檢測到可疑活動,並在惡意交易發生時立即向用戶發出警報。20分鐘內,Venus暫停了協議運行,阻止了資金洩露。響應流程如下:
- 5小時內:安全檢查後部分功能已恢復
- 7小時內:攻擊者的錢包被強制清算
- 12小時內:損失全部恢復,服務恢復。
值得注意的是,金星通過了一項治理提案,凍結了攻擊者持有的 300 萬美元資產,導致攻擊者蒙受損失而不是獲利。
這個案例表明,DeFi 領域正在建立一種新的安全系統,該系統結合了主動監控、快速響應和治理功能,即使在攻擊發生後也能最大限度地減少或逆轉損害,這與 DeFi 早期時代不同。
對2026年及以後的影響
2025 年的數據描繪了朝鮮作為加密貨幣威脅行為者演變的複雜圖景。其僅憑少量攻擊就能造成重大損失的能力表明,其攻擊手段日益複雜且持續不斷。在 Bybit 事件之後,朝鮮似乎在進行大規模盜竊後放慢了攻擊節奏,轉而將重心放在洗錢活動上。
加密貨幣行業需要保持警惕,密切關注大額交易目標,並加強對朝鮮洗錢模式的識別。朝鮮人在服務類型和匯款金額方面的一致性偏好為識別此類犯罪提供了契機,有助於將其與其他犯罪分子區分開來,並識別其鏈上行為。
隨著朝鮮持續竊取加密資產以資助國家優先事項並規避國際制裁,業界必須認識到,這些行為者的行事規則與典型的網絡犯罪分子截然不同。2025 年創紀錄的損失發生在已知攻擊數量下降 74% 的情況下,而我們可能看到的只是冰山一角。2026 年的挑戰在於,如何在 Bybit 級別的事件再次發生之前,發現並阻止這些影響巨大的行動。
本網站包含指向第三方網站的鏈接,這些網站並非由Chainalysis, Inc.或其關聯公司(統稱“Chainalysis”)控制。訪問此類信息並不意味著Chainalysis與該網站或其運營者存在任何關聯、認可、批准或推薦關係,Chainalysis亦不對其託管的產品、服務或其他內容承擔任何責任。
本資料僅供參考,不構成任何法律、稅務、財務或投資建議。讀者在做出此類決定前應諮詢自身顧問。Chainalysis 對讀者因使用本資料而做出的任何決定或任何其他作為或不作為概不承擔任何責任。
Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性,並且不對因該等材料任何部分的錯誤、遺漏或其他不準確之處而引起的任何索賠承擔責任。
這篇題為“朝鮮加密貨幣盜竊案一年內金額高達20億美元,創歷史新高”的文章最初發表在Chainalysis網站上。
