Os hackers da Coreia do Norte roubarão 2,02 mil milhões de dólares em 2025, com um ciclo de lavagem de 45 dias a expor os seus padrões de funcionamento

2025年，加密产业面临前所未有的威胁。据区块链安全分析公司Chainalysis的年度骇客攻击报告显示，北韩骇客集团尽管发动的已知攻击事件大幅减少74%，却在掠夺资金的规模上创下历史新高。这种「少而精」的攻击模式背后，隐藏着一个明显的运作周期——从盗窃到洗钱的全过程平均耗时约45天，这个时间周期成为破获北韩资金流转的关键线索。

2025年加密产业失血34亿美元，极端攻击规模创纪录

2025年1月至12月期间，加密产业遭受的盗窃损失超过34亿美元。其中，单一事件对年度损失的影响达到了前所未有的程度——前三大骇客攻击事件就占据了所有损失的69%。最令人震惊的是，2月份Bybit交易所遭受的一次攻击就造成了15亿美元的损失，占据当月被盗资金的绝对比例。

这些被盗资金的来源呈现出新的特征。个人钱包被盗事件虽然数量激增至15.8万起（创2022年以来新高），但由于Bybit事件的巨大规模，个人钱包盗窃在总损失中的占比反而有所下降。与此同时，针对中心化服务的攻击变得越来越具有破坏性——尽管此类入侵事件并不频繁，但2025年第一季度发生的中心化服务攻击就造成了占季度总损失的88%。

最令人担忧的数据是：最大规模的骇客攻击与所有事件中位数的差距首次突破了1000倍的门槛。换句话说，最大的攻击盗取资金是普通事件的1000倍，这种极端的规模分化甚至超越了2021年牛市高峰时期的比例。

北韩单独作案占比76%，已知攻击减少却盗取创新高

在这一切的背后，北韩骇客群体仍然是加密产业最大的威胁。这个国家级别的攻击势力在2025年盗取了至少20.2亿美元的加密货币，相比2024年的13.39亿美元增长51%，创下有记录以来的最高纪录。自2022年以来，北韩骇客集团累计盗取的加密资金已达67.5亿美元。

令人困惑的是，这笔历史最高的盗窃额是在已知攻击事件大幅减少的情况下达成的。北韩骇客发动的攻击占所有入侵事件的76%（历史新高），但单次攻击的频率反而下降了。这表明北韩的攻击策略发生了根本性转变——他们转向质量优先而非数量优先。

北韩骇客已经演变出多层次的渗透手段。最初，他们通过将IT工作人员植入加密服务内部来获取特权访问权。但近年来，这一手段已被更加老练的社交工程攻击取代。他们冒充知名Web3和AI公司的招聘人员，精心设计虚假的招聘流程，透过「技术筛选」的名义骗取受害者的登录凭证、源代码，甚至是VPN或单点登录(SSO)访问权限。

在高阶主管层面，北韩骇客采用了更隐蔽的手法——冒充战略投资者或收购方，透过投资推介会和虚假尽职调查来探查敏感系统信息和高价值的基础设施。这种精准瞄准策略解释了为何他们以更少的攻击实现了更大的盗窃——他们的目标都是大型服务和关键节点。

拆解北韩洗钱运作：特殊的「分档」策略与45天洗钱周期

与其他网络犯罪分子截然不同，北韩骇客拥有独特而结构化的资金洗清模式。他们的洗钱活动呈现出明显的「分档」特征——超过60%的交易量集中在50万美元以下的范围，这与其他骇客将60%的资金分批在100万至1000万美元区间流转的模式形成鲜明对比。

北韩骇客在选择洗钱服务时也展现出明显的偏好。他们大幅依赖中文资金转移和担保服务（相比其他骇客高出355%至1000%以上），这表明北韩与亚太地区的非法资金网络存在紧密联系。其次，他们高度依赖跨链桥服务（高出97%）在不同区块链间转移资产以增加追踪难度，并频繁使用混币服务（高出100%）试图掩盖资金流动。专业服务如Huione等工具的使用率也高出356%。

令人瞩目的是，北韩骇客反而避免使用借贷协议（少于其他骇客80%）、无KYC交易所（少于75%）和点对点平台（少于64%）。这种模式差异暗示，北韩的运作受到不同于典型网络犯罪分子的约束——他们需要与特定的中间人协调，渠道相对固定。

从2022-2025年的四年监测资料来看，北韩骇客在大规模窃盗后的资金流转遵循一个高度结构化的周期，整个过程通常耗时约45天。这个洗钱周期分为三个明确的阶段：

第一阶段：紧急分层（第0-5天） — 盗窃发生后的最初数天，观察到异常活跃的交易活动。DeFi协议成为被盗资金的主要流向点，交易量增幅达370%；混币服务交易量也迅速增加135-150%。这个阶段的目的是快速切断被盗资金与原始来源的联系。

第二阶段：初步融合（第6-10天） — 进入第二周后，资金开始流向能帮助其融入广泛生态系统的服务。KYC限制较少的交易所和中心化交易所(CEX)开始接收资金流动（分别增加37%和32%），第二轮混币服务继续运作，跨链桥接(如XMRt)协助资金在多链间分散（增加141%）。这是资金朝向最终退出管道转移的关键时期。

第三阶段：长尾融合（第20-45天） — 最后阶段明显倾向于能够最终兑换成法币的服务。无KYC的交易所(增加82%)和担保服务(增加87%)的使用量大幅增长，即时交易所(增加61%)和中文平台如汇旺(增加45%)成为最终的兑换点。监管较弱的司法管辖区的平台(增加33%)也参与其中，完成整个洗钱网络的闭环。

这个平均45天的洗钱周期对执法和合规团队来说是宝贵的情报。北韩骇客往往遵循这一时间表，这可能反映出他们在获取金融基础设施管道上的限制，以及与特定中间人的协调需求。尽管某些被盗资金会进入休眠期达数月或数年，但主动洗钱时的这种周期性模式持之以恒，为追踪提供了宝贵的时间窗口。

个人钱包沦陷：15.8万起盗窃事件背后的生态风险

2025年个人钱包被盗事件激增至15.8万起，较2022年的5.4万起几乎翻了三倍。受害者人数从2022年的4万人增加到2025年的至少8万人。这场针对个人用户的大规模攻击浪潮与加密货币的广泛采用密切相关。以Solana为例，这条以个人钱包活跃度著称的公链上就有约2.65万名受害者。

然而，令人稍感宽慰的是，尽管事件和受害者数量激增，2025年从个人受害者处窃取的总金额却从2024年峰值的15亿美元下降至7.13亿美元。这表明攻击者正在「撒网」但「单个鱼饵更小」——他们针对的用户更多，但每个受害者的损失在减少。

不同区块链的受害风险分布并不均匀。以每10万个活跃钱包的盗窃率计算，以太坊和波场的失窃率最高，尤其是波场尽管用户基数相对较小，但其盗窃率却异常高涨。相比之下，Base和Solana尽管拥有庞大的用户基数，却展现出较低的受害率。这种差异表明，除了技术架构因素外，用户群体特征、热门应用生态和本地犯罪基础设施等多维度因素都在影响盗窃率。

DeFi资金回流却安全提升，2025年呈现反转态势

DeFi领域在2025年的安全数据中呈现出令人瞩目的分化现象，与历史趋势形成鲜明对比。

过去四年可以分为三个截然不同的阶段：2020-2021年的扩张期，DeFi总锁定价值(TVL)与骇客攻击损失同步增长；2022-2023年的低迷期，两项指标同步下降；而2024-2025年则进入了新的分化期——TVL已从2023年的低点显著回升，但骇客攻击造成的损失却意外地保持在较低水平。

按银行劫匪Willie Sutton的逻辑，「他抢银行是因为那里有钱」。按照这个直觉，DeFi TVL的回升应该带来骇客攻击损失的增加。但2024-2025年正在发生相反的事情——数十亿美元已经重新流入这些协议，骇客攻击造成的损失却持续保持低位。

这种现象可以用两个因素来解释：首先是安全性的实际提升——尽管TVL不断增长，骇客攻击率却在持续下降，表明DeFi协议正在实施比早期更有效的安全措施；其次是攻击目标的转移——个人钱包盗窃和中心化服务攻击的同步增加表明，网络犯罪分子的注意力正在从DeFi协议转向其他更容易得手的目标。

Venus协议成功自救：20分钟阻止1300万美元损失

2025年9月的Venus Protocol事件生动演示了改进的安全防御机制如何扭转局势。攻击者通过入侵的Zoom客户端获取系统访问权限，随后诱使一名用户授予其价值1300万美元账户的委托权限。这本应是一场灾难。

然而，Venus恰好在一个月前启动了Hexagate的安全监控平台。该平台在攻击发生前18小时就侦测到了可疑活动，并在恶意交易执行时立即发出告警。在短短20分钟内，Venus暂停了协议操作，完全阻止了资金流出。

随后的反应更为迅速：5小时内完成安全检查并恢复部分功能；7小时内强制清算攻击者的钱包；12小时内追回全部被盗资金并完全恢复服务。最关键的是，Venus通过治理投票冻结了攻击者仍控制的300万美元资产，使攻击者不仅未能获利，反而损失了资金。

这个案例象征着DeFi安全基础设施的实质性进化。主动监测、快速反应能力与有效的治理机制相结合，使整个生态系统变得更加灵活和有韧性。尽管攻击仍在发生，但能够检测、应对甚至逆转攻击的能力已经实现了根本性转变——从「成功攻击往往意味着永久性损失」演进到「攻击可以被即时阻止甚至反转」。

未来威胁与应对周期

2025年的数据绘制出北韩作为加密产业头号威胁的复杂演变图景。该国发动攻击的频率在减少，但每次攻击的破坏性却在大幅提升，显示其手段愈发精妙且更富耐心。Bybit事件对全年活动周期的影响表明，当北韩成功实施重大窃盗时，它会降低行动节奏，转而专注于长周期的资金洗涤。

对于加密产业而言，这种演变趋势要求加强对高价值目标的持续警惕，并大幅提升对北韩特定洗钱模式的识别能力。他们对特定服务类型和转账金额的持续偏好为检测提供了机会，使北韩骇客与其他犯罪分子的行为特征形成可区分的对比，有助于调查人员识别其链上活动轨迹。

北韩在2025年创造的纪录增长——在已知攻击减少74%的情况下实现最高盗窃额——表明现在看到的可能只是其活动的冰山一角。2026年的核心挑战在于：如何在北韩再次发动类似Bybit规模的攻击之前，及时侦测并阻止这些运作。洞悉其45天的洗钱周期规律，成为执法机构与安全团队的关键突破口。