根據區塊鏈情報公司 TRM Labs 的一份新報告,朝鮮黑客竊取了今年迄今為止網絡犯罪分子竊取的所有加密貨幣的近四分之三——這並非通過持續不斷的攻擊活動,而是通過在 4 月份針對去中心化金融平臺的兩次精心策劃的盜竊行動。
這兩起事件——4月 1 日Drift Protocol 遭受 2.85 億美元的攻擊和 4 月 18 日Kelp DAO 遭受 2.92 億美元的攻擊——雖然僅佔記錄在案的事件總數的 3%,但加起來卻佔 4 月份所有加密貨幣黑客攻擊損失的 76%。
總而言之,TRM Labs 估計,自 2017 年以來,與朝鮮有關聯的黑客已從加密協議和項目中竊取了超過 60 億美元,其中包括業內一些最嚴重的盜竊案。
這些數據反映出與朝鮮政府有關聯的特工人員對加密貨幣的盜竊活動日益集中。平壤在全球加密貨幣黑客攻擊損失中所佔的份額已從2020年和2021年的不足10%增長到2022年的22%,2023年的37%,2024年的39%,以及2025年的64%。截至2026年4月,這一數字將達到76%,創下歷史最高持續份額紀錄。
Drift Protocol 遭受的攻擊以其極強的耐心而著稱。鏈上攻擊始於 3 月 11 日,此後數月間,朝鮮代理人與 Drift 員工進行了多次線下會面——TRM 分析師稱,這種策略在朝鮮曠日持久的加密貨幣黑客攻擊行動中可能是前所未有的。
攻擊者利用了Solana 的一項名為“持久隨機數”(durable nonce)的功能,該功能允許預先簽名的交易被保留並在稍後時間執行。4 月 1 日,在大約 12 分鐘內執行了 31 筆提現操作,盜走了包括USDC和 JLP 在內的真實資產。被盜資金迅速轉移到以太坊,並一直處於休眠狀態。
Kelp DAO 攻擊採取了不同的策略。攻擊者攻破了兩個內部 RPC 節點,然後對外部節點發起拒絕服務攻擊,迫使橋接的唯一驗證者依賴於被汙染的數據源。這些節點錯誤地報告底層資產已在源鏈上被銷燬,而實際上並未發生此類操作,導致約 116,500 個 rsETH(價值約 2.92 億美元)從以太坊橋接合約中被盜走。
在Kelp DAO被盜事件發生後,Arbitrum安全委員會行使緊急權力, 凍結了網絡上遺留的約7500萬美元被盜資金——這一罕見的干預措施引發了迅速的洗錢行動。隨後,約1.75億美元的ETH被兌換成比特幣,其中大部分是通過THORChain一個無需客戶身份驗證的跨鏈流動性協議——完成的。
THORChain 處理了2025 年Bybit洩露事件(業內最嚴重的盜竊案,超過 14 億美元的加密貨幣被盜)和 2026 年 Kelp DAO 黑客事件的大部分收益,將數億美元的被盜ETH兌換成比特幣,而沒有任何運營商願意凍結或拒絕轉賬。
TRM 分析師指出,該組織似乎正在磨練其工具:分析師開始推測,朝鮮的攻擊者正在將人工智能工具融入到他們的偵察和社會工程工作流程中,這一發展與 Drift 等攻擊的日益精準性相一致,Drift 需要數週時間有針對性地操縱複雜的區塊鏈機制。
