2025年對北韓駭客集團而言,無疑是豐收的一年。根據Chainalysis發布的2025年駭客攻擊報告,北韓駭客儘管發動的攻擊次數大幅減少,卻在竊盜資金金額上創下歷史新高,這一看似矛盾的現象背後,反映了這些國家級網路犯罪集團日益精妙的作案手段。## 豐收年的背後:攻擊減少但資金竊盜增加2025年整個加密生態面臨嚴峻考驗。根據統計,全年被盜金額超過34億美元,其中光是2月發生的Bybit重大駭客攻擊就造成了15億美元的損失。北韓駭客在這場「肥年」中的表現尤為突出。2025年他們竊取的加密貨幣價值高達20.2億美元,相比2024年的13.39億美元,年增51%。更令人警惕的是,這創下了北韓加密貨幣竊盜案有史以來最嚴重的一年紀錄,而其累計竊盜總額已達67.5億美元。讓數據更加觸目驚心的是,北韓發動的攻擊佔所有入侵事件的76%,創下歷史新高。儘管已確認的攻擊事件減少了74%,但竊盜金額反而大幅增加。這表明,北韓駭客正在以更高的效率進行針對性攻擊——他們減少了攻擊頻率,卻將火力集中在更有價值的目標上。## 獨特的洗錢網絡:北韓駭客的運作特徵北韓駭客之所以能實現「肥年」的豐收,離不開其獨特的洗錢模式與運作网络。他們的洗錢活動與其他網路犯罪分子截然不同。**洗錢活動的「分檔」特徵**北韓駭客的洗錢活動呈現明顯的「分檔」模式,超60%的交易量集中在50萬美元以下。這與其他駭客的運作邏輯完全不同——其他駭客鏈上轉移的資金中,超過60%是在100萬至1000萬美元以上的區間內分批進行。**對特定服務的明顯偏好**相比其他駭客,北韓駭客在洗錢環節中展現出鮮明的偏好模式:- **中文資金轉移和擔保服務(+355%至1000%以上)**:這是最鮮明的特點,北韓駭客嚴重依賴中文擔保服務以及由眾多可能合規控制較弱的洗錢業者組成的洗錢網絡。這一偏好強度遠高於其他犯罪分子。- **跨鏈橋服務(+97%)**:高度依賴跨鏈橋在不同區塊鏈之間轉移資產,以增加追蹤難度。- **混幣服務(+100%)**:更多地使用混幣服務來掩蓋資金流動軌跡。- **專業服務(+356%)**:策略性地使用Huione等特定服務來輔助洗錢活動。相比之下,北韓駭客明顯避開了其他駭客常用的洗錢渠道:借貸協議(-80%)、無KYC交易所(-75%)、P2P交易所(-64%)、CEX(-25%)和DEX(-42%)。## 45天的資金流轉:多階段洗錢週期揭密2025年初大量被盜資金的湧入為執法部門提供了寶貴的情報。通過分析鏈上活動,研究人員發現北韓駭客遵循著一個結構化、多階段的洗錢路徑,整個過程通常持續約45天。**第一階段:立即分層(第0-5天)**駭客攻擊發生後的最初幾天,我們觀察到一系列異常活躍的活動:- DeFi協議的被盜資金流動量增幅最大(+370%),成為主要的切入點- 混幣服務的交易量大幅增加(+135-150%),構成了第一層混淆- 這個階段代表著緊急的「第一步」行動,旨在與最初的盜竊行為劃清界線**第二階段:初步整合(第6-10天)**進入第二週後,洗錢策略開始轉向能幫助資金融入更廣泛生態系統的服務:- KYC限制較少的交易所(+37%)和CEX(+32%)開始接收資金流動- 第二層混幣服務(+76%)的洗錢活動以較低強度繼續進行- 跨鏈橋接(如XMRt,+141%)協助分散和掩蓋資金在區塊鏈間的流動- 這是關鍵的過渡時期,資金開始流向潛在的退出管道**第三階段:長尾整合(第20-45天)**最後階段明顯傾向於能夠最終兌換成法幣或其他資產的服務:- 無需KYC的交易所(+82%)和擔保服務(如馬鈴薯擔保,+87%)的使用量顯著增長- 即時交易所(+61%)和中文平台(如匯旺,+45%)成為最終的兌換點- CEX(+50%)也接收資金,顯示存在試圖將資金與合法資金混入的複雜嘗試- 監管較少的司法管轄區,例如中文洗錢網絡(+33%)和Grinex(+39%)等平台,完善了這一模式這個通常為45天的洗錢操作窗口為執法和合規團隊提供了關鍵情報。這種模式在過去多年中保持一致,表明北韓駭客面臨著操作上的限制,這可能與他們獲取金融基礎設施的管道有限以及需要與特定中間人協調有關。## 個人用戶的威脅持續升級在2025年「肥年」豐收中,另一個令人擔憂的趨勢是對個人錢包的攻擊激增。**規模擴張的竊盜事件**2025年個人錢包遭竊事件總數飆升至15.8萬起,幾乎是2022年記錄的5.4萬起的三倍。受害者人數從2022年的4萬人增加到2025年的至少8萬人。這些顯著成長很可能源於加密貨幣的更廣泛採用。例如,擁有最多活躍個人錢包的區塊鏈之一Solana,其竊盜事件數量遙遙領先,約有2.65萬名受害者。**每個受害者被盜金額反而下降**儘管事件和受害者數量增多,但2025年從單一受害者處竊取的美元總金額卻從2024年的峰值15億美元降至7.13億美元。這表明攻擊者的目標用戶增多,但每個受害者被盜金額減少——這是一個值得注意的轉變。**風險並非均等分佈**以太坊和波場的失竊率最高(以每10萬個錢包的犯罪率衡量),儘管Base和Solana的用戶基數龐大,但其受害率卻較低。這顯示個人錢包在加密生態中的安全風險並非均等,除了技術因素之外,用戶群體特徵、熱門應用和犯罪基礎設施等因素在決定盜竊率方面也發揮著重要作用。## DeFi安全的意外轉機儘管北韓駭客在2025年迎來「肥年」,但加密生態中也出現了令人鼓舞的信號——DeFi領域的安全狀況正在改善。**DeFi TVL上升而攻擊損失保持穩定**數據顯示了三個截然不同的階段:- 第一階段(2020-2021年):DeFi TVL與駭客攻擊損失同步成長- 第二階段(2022-2023年):兩項指標同步下降- 第三階段(2024-2025年):TVL回升,而駭客損失保持穩定這種差異尤為顯著。DeFi TVL已從2023年的低點顯著回升,但駭客攻擊造成的損失卻並未隨之增加。儘管數十億美元已回流到這些協議,但DeFi駭客攻擊事件持續保持在較低水平,這代表著一個意義重大的變化。兩個因素可以解釋這種差異。首先是安全性提升——DeFi協定可能正在實施比2020-2021年期間更有效的安全措施。其次是目標轉移——個人錢包盜竊和中心化服務攻擊事件的同步增加表明,攻擊者的注意力正在轉移到其他目標。## Venus協議的防守成功案例2025年下半年發生的Venus協議事件充分展示了改進的安全措施正在產生實際效果。當時,攻擊者利用一個被入侵的Zoom用戶端獲取系統存取權限,並誘使一名用戶授予其價值1300萬美元帳戶的委託權限。這本可能造成災難性後果,但Venus恰好在一個月前啟用了Hexagate的安全監控平台。該平台在攻擊發生前18小時就偵測到了可疑活動,並在惡意交易一發生就立即發出了警報。在20分鐘內,Venus就暫停了其協議,阻止了任何資金流動。隨後的反應更是迅速有力:- 5小時內完成安全檢查後部分功能恢復- 7小時內強制清算攻擊者的錢包- 12小時內追回全部被竊資金並恢復服務最值得一提的是,Venus通過了一項治理提案,凍結了攻擊者仍控制的300萬美元資產。攻擊者不僅未能獲利,反而損失了資金。## 北韓駭客的手段演變與未來威脅北韓駭客之所以在2025年實現了「肥年」的豐收,不僅在於資金竊盜金額的增加,更在於其攻擊手段的不斷演變。**從內部滲透到複雜社交工程**北韓駭客越來越多地通過將IT人員安插進加密服務內部以獲取特權存取權。但最近,與北韓有關聯的駭客組織完全顛覆了這一模式。他們不再只是申請職位並以員工身份潛入,而是越來越多地冒充知名Web3和AI公司的招聘人員,精心策劃虛假招聘流程,最終以「技術篩選」為幌子,獲取受害者的登錄憑證、源代碼以及其當前雇主的VPN或SSO訪問權限。在高階主管層面,類似的社交工程手段以虛假戰略投資者或收購方的接觸形式出現。他們利用推介會議和偽盡職調查來探查敏感系統資訊以及潛在的高價值基礎設施,這種演變直接建立在早期IT工作者欺詐行動的基礎之上。**針對高價值目標的精準攻擊**從2022年至2025年,北韓駭客攻擊佔據最高價值區間,而非北韓駭客攻擊在所有竊盜規模中分佈較為正常。這種模式進一步表明,當北韓駭客發動攻擊時,他們瞄準大型服務,力求造成最大影響。**攻擊節奏的策略性調整**2025年前三大駭客攻擊造成的損失佔所有損失的69%,最大規模攻擊與所有事件中位數之間的比率首次突破了1000倍的門檻。Bybit事件對其年度活動模式的影響表明,當北韓成功實施重大竊盜時,它會降低行動節奏,轉而專注於洗錢。## 2026年的新挑戰2025年北韓駭客的「肥年」表現深刻揭示了當今加密安全的複雜現狀。儘管DeFi協議的防守能力在改善,儘管個別案例如Venus展示了成功的安全應對,但北韓駭客在竊盜資金上創下歷史新高的事實,表明整個加密生態仍面臨嚴峻威脅。對於加密產業而言,這種演變要求加強對高價值目標保持警惕,並提高對北韓特定洗錢模式的識別能力。他們對中文擔保服務、跨鏈橋和特定轉帳金額的持續偏好為檢測提供了機會,使其有別於其他犯罪分子,並有助於調查人員識別其鏈上行為特徵。隨著北韓持續利用加密貨幣盜竊來資助國家優先事項並規避國際制裁,加密產業必須認識到,北韓的運作規律與典型網路犯罪分子截然不同。北韓在2025年創紀錄的表現——在已知攻擊減少74%的情況下實現資金竊盜的大幅增加——這顯示當下可能只看到了其活動的最明顯部分。2026年的關鍵挑戰在於,如何在北韓再次發動類似Bybit規模的重大攻擊之前,偵測並阻止這些行動。這要求行業在提升安全防護的同時,持續監測和分析北韓駭客的獨特運作模式,為未來的防禦策略提供數據支撐。
北韩黑客的「肥年」:2025年盗取资金创历史新高
2025年對北韓駭客集團而言,無疑是豐收的一年。根據Chainalysis發布的2025年駭客攻擊報告,北韓駭客儘管發動的攻擊次數大幅減少,卻在竊盜資金金額上創下歷史新高,這一看似矛盾的現象背後,反映了這些國家級網路犯罪集團日益精妙的作案手段。
豐收年的背後:攻擊減少但資金竊盜增加
2025年整個加密生態面臨嚴峻考驗。根據統計,全年被盜金額超過34億美元,其中光是2月發生的Bybit重大駭客攻擊就造成了15億美元的損失。
北韓駭客在這場「肥年」中的表現尤為突出。2025年他們竊取的加密貨幣價值高達20.2億美元,相比2024年的13.39億美元,年增51%。更令人警惕的是,這創下了北韓加密貨幣竊盜案有史以來最嚴重的一年紀錄,而其累計竊盜總額已達67.5億美元。
讓數據更加觸目驚心的是,北韓發動的攻擊佔所有入侵事件的76%,創下歷史新高。儘管已確認的攻擊事件減少了74%,但竊盜金額反而大幅增加。這表明,北韓駭客正在以更高的效率進行針對性攻擊——他們減少了攻擊頻率,卻將火力集中在更有價值的目標上。
獨特的洗錢網絡:北韓駭客的運作特徵
北韓駭客之所以能實現「肥年」的豐收,離不開其獨特的洗錢模式與運作网络。他們的洗錢活動與其他網路犯罪分子截然不同。
洗錢活動的「分檔」特徵
北韓駭客的洗錢活動呈現明顯的「分檔」模式,超60%的交易量集中在50萬美元以下。這與其他駭客的運作邏輯完全不同——其他駭客鏈上轉移的資金中,超過60%是在100萬至1000萬美元以上的區間內分批進行。
對特定服務的明顯偏好
相比其他駭客,北韓駭客在洗錢環節中展現出鮮明的偏好模式:
中文資金轉移和擔保服務(+355%至1000%以上):這是最鮮明的特點,北韓駭客嚴重依賴中文擔保服務以及由眾多可能合規控制較弱的洗錢業者組成的洗錢網絡。這一偏好強度遠高於其他犯罪分子。
跨鏈橋服務(+97%):高度依賴跨鏈橋在不同區塊鏈之間轉移資產,以增加追蹤難度。
混幣服務(+100%):更多地使用混幣服務來掩蓋資金流動軌跡。
專業服務(+356%):策略性地使用Huione等特定服務來輔助洗錢活動。
相比之下,北韓駭客明顯避開了其他駭客常用的洗錢渠道:借貸協議(-80%)、無KYC交易所(-75%)、P2P交易所(-64%)、CEX(-25%)和DEX(-42%)。
45天的資金流轉:多階段洗錢週期揭密
2025年初大量被盜資金的湧入為執法部門提供了寶貴的情報。通過分析鏈上活動,研究人員發現北韓駭客遵循著一個結構化、多階段的洗錢路徑,整個過程通常持續約45天。
第一階段:立即分層(第0-5天)
駭客攻擊發生後的最初幾天,我們觀察到一系列異常活躍的活動:
第二階段:初步整合(第6-10天)
進入第二週後,洗錢策略開始轉向能幫助資金融入更廣泛生態系統的服務:
第三階段:長尾整合(第20-45天)
最後階段明顯傾向於能夠最終兌換成法幣或其他資產的服務:
這個通常為45天的洗錢操作窗口為執法和合規團隊提供了關鍵情報。這種模式在過去多年中保持一致,表明北韓駭客面臨著操作上的限制,這可能與他們獲取金融基礎設施的管道有限以及需要與特定中間人協調有關。
個人用戶的威脅持續升級
在2025年「肥年」豐收中,另一個令人擔憂的趨勢是對個人錢包的攻擊激增。
規模擴張的竊盜事件
2025年個人錢包遭竊事件總數飆升至15.8萬起,幾乎是2022年記錄的5.4萬起的三倍。受害者人數從2022年的4萬人增加到2025年的至少8萬人。這些顯著成長很可能源於加密貨幣的更廣泛採用。例如,擁有最多活躍個人錢包的區塊鏈之一Solana,其竊盜事件數量遙遙領先,約有2.65萬名受害者。
每個受害者被盜金額反而下降
儘管事件和受害者數量增多,但2025年從單一受害者處竊取的美元總金額卻從2024年的峰值15億美元降至7.13億美元。這表明攻擊者的目標用戶增多,但每個受害者被盜金額減少——這是一個值得注意的轉變。
風險並非均等分佈
以太坊和波場的失竊率最高(以每10萬個錢包的犯罪率衡量),儘管Base和Solana的用戶基數龐大,但其受害率卻較低。這顯示個人錢包在加密生態中的安全風險並非均等,除了技術因素之外,用戶群體特徵、熱門應用和犯罪基礎設施等因素在決定盜竊率方面也發揮著重要作用。
DeFi安全的意外轉機
儘管北韓駭客在2025年迎來「肥年」,但加密生態中也出現了令人鼓舞的信號——DeFi領域的安全狀況正在改善。
DeFi TVL上升而攻擊損失保持穩定
數據顯示了三個截然不同的階段:
這種差異尤為顯著。DeFi TVL已從2023年的低點顯著回升,但駭客攻擊造成的損失卻並未隨之增加。儘管數十億美元已回流到這些協議,但DeFi駭客攻擊事件持續保持在較低水平,這代表著一個意義重大的變化。
兩個因素可以解釋這種差異。首先是安全性提升——DeFi協定可能正在實施比2020-2021年期間更有效的安全措施。其次是目標轉移——個人錢包盜竊和中心化服務攻擊事件的同步增加表明,攻擊者的注意力正在轉移到其他目標。
Venus協議的防守成功案例
2025年下半年發生的Venus協議事件充分展示了改進的安全措施正在產生實際效果。
當時,攻擊者利用一個被入侵的Zoom用戶端獲取系統存取權限,並誘使一名用戶授予其價值1300萬美元帳戶的委託權限。這本可能造成災難性後果,但Venus恰好在一個月前啟用了Hexagate的安全監控平台。
該平台在攻擊發生前18小時就偵測到了可疑活動,並在惡意交易一發生就立即發出了警報。在20分鐘內,Venus就暫停了其協議,阻止了任何資金流動。隨後的反應更是迅速有力:
最值得一提的是,Venus通過了一項治理提案,凍結了攻擊者仍控制的300萬美元資產。攻擊者不僅未能獲利,反而損失了資金。
北韓駭客的手段演變與未來威脅
北韓駭客之所以在2025年實現了「肥年」的豐收,不僅在於資金竊盜金額的增加,更在於其攻擊手段的不斷演變。
從內部滲透到複雜社交工程
北韓駭客越來越多地通過將IT人員安插進加密服務內部以獲取特權存取權。但最近,與北韓有關聯的駭客組織完全顛覆了這一模式。他們不再只是申請職位並以員工身份潛入,而是越來越多地冒充知名Web3和AI公司的招聘人員,精心策劃虛假招聘流程,最終以「技術篩選」為幌子,獲取受害者的登錄憑證、源代碼以及其當前雇主的VPN或SSO訪問權限。
在高階主管層面,類似的社交工程手段以虛假戰略投資者或收購方的接觸形式出現。他們利用推介會議和偽盡職調查來探查敏感系統資訊以及潛在的高價值基礎設施,這種演變直接建立在早期IT工作者欺詐行動的基礎之上。
針對高價值目標的精準攻擊
從2022年至2025年,北韓駭客攻擊佔據最高價值區間,而非北韓駭客攻擊在所有竊盜規模中分佈較為正常。這種模式進一步表明,當北韓駭客發動攻擊時,他們瞄準大型服務,力求造成最大影響。
攻擊節奏的策略性調整
2025年前三大駭客攻擊造成的損失佔所有損失的69%,最大規模攻擊與所有事件中位數之間的比率首次突破了1000倍的門檻。Bybit事件對其年度活動模式的影響表明,當北韓成功實施重大竊盜時,它會降低行動節奏,轉而專注於洗錢。
2026年的新挑戰
2025年北韓駭客的「肥年」表現深刻揭示了當今加密安全的複雜現狀。儘管DeFi協議的防守能力在改善,儘管個別案例如Venus展示了成功的安全應對,但北韓駭客在竊盜資金上創下歷史新高的事實,表明整個加密生態仍面臨嚴峻威脅。
對於加密產業而言,這種演變要求加強對高價值目標保持警惕,並提高對北韓特定洗錢模式的識別能力。他們對中文擔保服務、跨鏈橋和特定轉帳金額的持續偏好為檢測提供了機會,使其有別於其他犯罪分子,並有助於調查人員識別其鏈上行為特徵。
隨著北韓持續利用加密貨幣盜竊來資助國家優先事項並規避國際制裁,加密產業必須認識到,北韓的運作規律與典型網路犯罪分子截然不同。北韓在2025年創紀錄的表現——在已知攻擊減少74%的情況下實現資金竊盜的大幅增加——這顯示當下可能只看到了其活動的最明顯部分。
2026年的關鍵挑戰在於,如何在北韓再次發動類似Bybit規模的重大攻擊之前,偵測並阻止這些行動。這要求行業在提升安全防護的同時,持續監測和分析北韓駭客的獨特運作模式,為未來的防禦策略提供數據支撐。