朝鮮會長期盯著加密行業,不是因為它對這些新概念有多大興趣,而是因為這個行業對它來說確實好用。
文章作者:劉紅林
文章來源:深潮
最近半年多的加密貨幣行業,冷清的彷彿退潮後的海邊。
人還是有人,項目也還在,但以前那種隔三差五就有新項目出來講故事、到處都是融資消息、群裡天天都有人喊著要上車的感覺,少了很多。
留下來的團隊,嘴上當然也會講願景、講長期,但私下裡聊得更多的,往往還是很樸素的事情:賬上還有多少錢,成本怎麼再壓一壓,團隊怎麼先穩住熬過熊市的冬天。
但熊市對項目方最狠的地方,有時候還不只是幣價跌了,也不只是融資難了,而是本不寬裕的家庭遇上雪上加霜,比如資產被盜。
牛市裡被偷,是肉疼;熊市裡被偷,是真的要命。
一、Drift 被盜 2.85 億美元
這次出事被盜的是 Drift,2026 年開年至今最大規模的 DeFi 攻擊之一,失竊金額約 2.85 億美元。
熟悉 Solana 生態的人,對這個名字大多不陌生。它本身是個去中心化交易平臺,主打永續合約交易,也覆蓋現貨、借貸和保險庫這些業務。官方資料把它稱為 Solana 上最大的開源永續合約去中心化交易平臺之一。
按公開披露的信息,攻擊發生於 2026 年 4 月 1 日,但前面可能鋪了整整六個月。2025 年秋天,一群自稱量化交易團隊的人,在大型行業會議上接觸了 Drift 的工作人員。後面拉群、開會、聊策略、聊業務接入,流程都很正常,更關鍵的是,對方不只說,還真往生態保險庫裡放了超過 100 萬美元自有資金。誰成想,這竟然是放長線釣大魚。
如果只看 Drift,這件事最多算又一場頭部項目安全事故。但如果把它放回過去幾年行業裡發生的那些大案裡看,事情就不是這個味道了。
多個案件繞來繞去,最後還是會繞回朝鮮。
二、朝鮮黑客戰績
2025 年 2 月,FBI 公開表示 Bybit 大約 15 億美元的虛擬資產失竊,由朝鮮實施,歸在其所謂的「TraderTraitor」行動之下。
2025 年底,Chainalysis 又給出年度數據,朝鮮相關黑客在 2025 年至少盜取了 20.2 億美元加密資產,同比增長 51%,歷史累計下限達到 67.5 億美元,而且呈現出一個很明顯的特點:朝鮮的獵殺次數變少了,但單筆越來越大。
朝鮮不是最近因為 Bybit 或 Drift 才突然冒出來的名字,它這些年一直都在,而且在加密行業裡的存在感,並不是越來越弱,而是越來越重。
再往前看,朝鮮的盜幣戰績也是屢見不鮮。
路透在 2024 年援引聯合國制裁專家材料稱,聯合國方面調查了 2017 年到 2024 年間 97 起涉嫌由朝鮮發起、針對加密貨幣公司的網絡攻擊,涉及金額約 36 億美元。
韓國警方在 2024 年 11 月也公開表示,2019 年一筆約 4200 萬美元的以太坊盜竊案,背後與朝鮮軍方情報系統關聯的黑客組織有關。
Drift 這次還有一個細節,在相關安全團隊支持下,現階段對這次行動與 2024 年 10 月 Radiant Capital 攻擊背後都指向了朝鮮。
放在一起看,這就不是幾個互不相干的案子,而是同一類人,在不同項目、不同時期、不同場景裡,反覆使用一套已經打磨得相當成熟的打法。
三、朝鮮黑客的收割體系
說到這裡,文章真正想和大家聊的,不是「朝鮮最近又偷了多少錢」,而是另一件更值得行業從業者注意的事:過去幾年,大家聊加密行業,注意力都放在香港、美國、迪拜,放在牌照、ETF、穩定幣、公鏈、支付、RWA、託管這些明面上的敘事上。
可另一條更硬的現實線索是,最持續、最系統、最有組織地從這個行業裡拿走真金白銀的,恰恰是朝鮮。
很多人一提朝鮮在加密行業裡的存在,第一反應還是那幾個老印象:黑客組織、盜幣、洗錢。這些詞當然沒錯,但現在看,可能還是低估了它。
因為它做的事情,早就不只是「黑幾個項目」這麼簡單。更準確一點說,它已經越來越像圍繞加密行業,跑出了一套完整的收割體系。
第一層:大額盜幣
攻擊交易所、跨鏈橋、錢包、協議,把資產直接拿走。Bybit 是最醒目的例子,15 億美元這個量級,已經不是普通意義上的行業事故了。
Chainalysis 2025 年的報告還提到,朝鮮相關攻擊在當年佔到所有服務型平臺被盜事件的 76%,而前幾大案件佔去了絕大部分損失。這說明它不是廣撒網的小偷,而是越來越會集中資源、挑選目標、捕大魚。
第二層:偽裝滲透
接近項目方,經營關係,偽裝成行業內部看起來很正常的角色。Drift 這次就很典型。對方不是突然冒出來的陌生賬號,而是在活動上見過、在群裡聊過、在業務上對過很多細節的人。
路透的報道也提到,朝鮮黑客越來越多地通過偽造工作機會滲透加密行業。假招聘方、假公司網站、假技術測試、假面試流程,這些東西可怕的地方,不在於花樣多新,而在於它們都貼著行業真實的工作流長出來。
第三層:遠程臥底
美國司法部在 2025 年 6 月公佈的案件顯示,朝鮮相關遠程信息技術人員利用盜用或偽造身份,在 100 多家美國公司找到遠程工作;整條鏈路背後,還有假網站、前臺公司、電腦中轉點、洗錢賬戶等配套結構。
FBI 公佈的通緝信息還顯示,其中有人利用遠程崗位的權限,從兩家公司盜走了價值超過 90 萬美元的虛擬貨幣。到了這個層面,風險已經不是「外部攻擊」了,而是「人已經進了屋子」。只要人能進來,招聘、設備、代碼倉庫權限、財務流程、終端管理,這些原來看起來很瑣碎的事,都會變成裡應外合的安全攻擊和資產掠奪。
第四層:洗錢變現
最後一層,是後端的洗錢和資金處理能力。路透 2024 年援引聯合國制裁專家材料稱,朝鮮在 2024 年 3 月通過混幣工具處理了 1.475 億美元此前從相關案件中盜得的資產;同一報道還提到,聯合國方面認為這類網絡攻擊與獲取資金、規避制裁、支持其武器項目有關。
朝鮮不是「偷完就結束」,它後面還有一整套拆分、跳轉、清洗、再變現的能力。
四、為什麼是加密行業
很多正經項目方牛熊一輪就沒了,團隊散了,產品停了,幣價歸零。朝鮮不是。它沒有發佈會,沒有路線圖,也沒有品牌敘事,但它每年都在穩定地從這個行業裡拿錢,而且方法越來越成熟。
朝鮮會長期盯著加密行業,不是因為它對這些新概念有多大興趣,而是因為這個行業對它來說確實好用。
第一,是資金更容易盜用。 傳統金融體系裡很多錢,它碰不到,或者碰起來成本太高。銀行、清算、跨境監管、制裁名單,每一層都是門檻。可在鏈上世界,只要前端能找到入口,後面的拆分、跨鏈、再分發空間就大得多。一旦被盜資產進入鏈上體系,後面的處理空間和難度,就和傳統金融不是一回事。
第二,是組織更容易滲透。 加密行業天然全球化、遠程化、輕組織。大家靠社交軟件、視頻會議、代碼平臺、文檔工具、測試分發工具,把合作、開發、融資、運營、接入、做市全跑起來。平時看,這是效率;換個角度看,這就是攻擊面。
五、加密從業者的應對指南
對很多加密項目方來說,這不是國際政治的遠消息,而是這個行業今天最現實的經營風險之一。這不是一個抽象的安全提醒,而是一個很現實的經營問題。
1. 員工招聘和遠程管理
美國司法部和 FBI 已經把風險講得很具體了:朝鮮相關信息技術人員會用盜用或偽造身份,在美國公司找遠程崗位,並通過美國境內的電腦中轉點接收公司寄出的設備,再以遠程方式接入公司網絡。對加密行業創業團隊來說,凡是接觸代碼倉庫、生產環境、錢包、部署流程、財務後臺、身份認證數據的崗位,都不能再只看簡歷和交付結果。
至少要做三件事:
第一,身份核驗要交叉做,不能只看職業社交平臺、視頻面試和一張護照照片。
第二,敏感崗位必須使用可控設備,不能長期默許用純個人電腦處理核心業務。
第三,權限要默認最小化,尤其是試用期員工、外包人員、合同工,不要一上來就給太多入口,再想著後面慢慢收。
2. 合作伙伴身份核實
Drift 這次給行業最大的提醒之一,就是線下見過面、線上聊得順、問題問得專業、甚至真的投了錢,這些都不能再自動默認為可信。
更務實一點的做法是:核驗不能只停留在名片、官網和社交媒體,要去看公司註冊信息、歷史項目痕跡、真實團隊成員、共同熟人反饋,必要時要求對方提供可驗證的機構材料。接觸越久,合作越深,該做的風控可一點都別少。
3. 安全審計要升級
很多團隊現在一提安全審計,想到的還是智能合約審計、錢包管理、多籤配置、鏈上監控。這些當然都要做,但已經不夠了。
今天更該關注的是「人的工作流」。誰可以下載外部代碼倉庫,誰接觸過多籤相關設備,誰能進入生產環境,誰能觸發財務審批,誰的終端碰過核心權限。這些問題,很多團隊平時並沒有系統盤過。
比較務實的做法是,每季度至少做一次權限和終端審計:先盤點誰能碰多籤、誰能看核心代碼倉庫、誰能進生產環境、誰有財務審批權限,再把相關設備做隔離和風險檢查。 Drift 自己在更新裡也提醒:檢查團隊,審計誰有權限訪問什麼,並把每一臺接觸過多籤的設備都視為潛在目標。
4. 安全預算是經營成本
很多小團隊最容易省的,就是審計、風控、流程設計、終端管理這些錢,覺得貴,覺得慢,覺得影響業務推進。可朝鮮相關攻擊這幾年的特點,恰恰是願意花很長時間和不低成本來換一次高回報。這對於掌控大量客戶資產的加密行業從業者,應該是一次高聲亮的提醒。
加密貨幣行業發展到今天,大家總喜歡問一個問題:它到底改變了什麼。
有人會說,它改變了支付;有人會說,它改變了資產發行;有人會說,它改變了全球資本流動的方式。
可如果把朝鮮這條線也放進來看,你會發現,它至少已經改變了一件事:它讓一個原本在傳統金融體系裡處處受限的國家,第一次找到了一套可以長期運轉、跨境流動、持續拿錢的工具。
只是,它用了一種最直接,也最不體面的方式。
