朝鲜

CertiK报告:朝鲜黑客2025年窃取21亿美元加密货币,占全年总损失60%

Posted on by Aiying快讯
13
5 月

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

区块链安全公司CertiK于5月12日发布Skynet分析报告,披露朝鲜关联黑客在2025年窃取了20.6亿美元加密货币,占当年所有加密盗窃损失的60%。自2016年以来,朝鲜黑客累计实施263起攻击事件,总盗窃金额达67.5亿美元。即使进入2026年,截至5月,朝鲜仍占全球加密损失的55%(Decrypt, 2026-05-12)。

发生了什么

两起标志性事件:Bybit与Drift Protocol

2025年2月21日,Bybit交易所遭遇14.6亿美元的单一事件损失,是目前为止最大规模的加密盗窃案——仅两笔交易就转走了这个数字。至今已有超过10亿美元被清洗(Elliptic追踪数据, 2026)。

2026年4月,基于Solana的DeFi平台Drift Protocol损失2.85亿美元——攻击者花了六个月时间潜入,伪装成一家量化交易公司,通过社会工程学逐步获得信任和系统访问权限。这是2026年至今最大的DeFi攻击事件。

攻击手段的演进:从机会主义到工业化

CertiK报告作者Taylor Monahan指出,社会工程学已取代技术漏洞利用成为”主导攻击向量”。TRM Labs则用”工业规模”来形容当前威胁:朝鲜黑客不再靠运气撞漏洞,而是构建了一整套体系——网络攻击 + 情报支持 + 非法金融基础设施 + 海外合作伙伴——加密货币盗窃已成为朝鲜”主要国家收入来源”。

洗钱端同样在进化。CertiK描述了一个被称为”中国洗衣店“(Chinese Laundromat)的庞大网络,由地下银行家、OTC经纪商、汇款机构和贸易洗钱中介共同组成,利用去中心化交易所(DEX)和跨链桥进行大规模资金清洗。在某起重大案件中,86%的被盗资金在一个月内完成洗钱

为什么重要

合规义务的边界在向外扩展

当国家支持的黑客组织以”工业规模”运作时,反洗钱合规的逻辑不能只盯着交易所的KYC。Drift Protocol的案例很说明问题——攻击者通过了长达六个月的尽职调查周期,伪装成合法的量化交易公司。CertiK的建议直指要害:视频面试级身份验证零信任招聘政策。对于DeFi协议和加密平台而言,反洗钱不再是”黑名单筛查”的合规动作,而是需要嵌入招聘和合作方准入流程的安全基础设施。

跨境执法面临结构性瓶颈

美国司法部在2025年6月对朝鲜外贸银行代表Sim Hyon Sop关联钱包发起了770万美元的民事没收诉讼——该钱包在2021年8月至2023年3月间接收了超过2400万美元的加密货币。但这笔没收相对于20亿美元的年度损失规模来说杯水车薪。跨境链上洗钱网络—尤其是”中国洗衣店”—使得传统执法手段的覆盖半径严重不足。

链上安全从技术问题变成了合规问题

CertiK建议的”技术加固“(跨链桥、热钱包等基础设施加固)正在从纯工程问题转变为一项合规期望。当监管机构开始将安全基础设施的完备程度纳入持牌机构的合规审查框架时,”我们用的是开源代码”将不再是一个令人满意的回答。

怎么看

  • 社会工程学+Lazarus工业化:技术漏洞不再是最大威胁,人的环节才是。六个月的潜伏、伪装成量化公司——这种耐心和专业化程度,要求平台的DDQ(尽职调查问卷)和onboarding流程升级到反间谍级别。
  • DEX和跨链桥的洗钱角色:报告明确指出DEX和跨链桥是主要洗钱通道,而非混币器(如Tornado Cash)。这对监管的启发是:制裁和限制的重点可能需要从混币协议转向跨链基础设施的合规设计。
  • 民事没收的象征意义大于实际效果:20亿 vs 770万——执法能追回的比例可能在1%以下。真正的防线必须前置到事件发生之前,而非依赖事后追缴。
  • 合规成本向DeFi扩散:Drift的案例表明,即使是”去中心化”平台,也无法靠智能合约自治来防御国家级攻击者。DeFi协议的合规投入正在从可选项变成生存条件。

一句话总结

朝鲜黑客在2025年将加密盗窃推向了工业化的新高度——20亿美元、60%的占比、六个月的潜伏——这不是个别事件,而是一个国家级收入引擎。对于行业,合规和安全的分界线正在消失。

本文基于Decrypt(CertiK Skynet报告, 2026-05-12)报道撰写。

Aiying快讯