概述朝鲜是全球唯一将加密货币盗窃上升为国家战略的政权。从2017年第一笔链上盗窃起步，到2025年单次劫走Bybit交易所15亿美元，朝鲜旗下的Lazarus Group已累计盗取超过67.5亿美元的加密资产。这不是普通的网络犯罪，而是一个被国际制裁封锁的政权，通过加密货币的去中心化特性，为其核武器项目输血续命。本文将从"为什么是加密货币"这一核心问题出发，拆解朝鲜的盗窃动机、技术手段、洗钱路径概述朝鲜是全球唯一将加密货币盗窃上升为国家战略的政权。从2017年第一笔链上盗窃起步，到2025年单次劫走Bybit交易所15亿美元，朝鲜旗下的Lazarus Group已累计盗取超过67.5亿美元的加密资产。这不是普通的网络犯罪，而是一个被国际制裁封锁的政权，通过加密货币的去中心化特性，为其核武器项目输血续命。本文将从"为什么是加密货币"这一核心问题出发，拆解朝鲜的盗窃动机、技术手段、洗钱路径

朝鲜为何公然大肆偷盗加密货币？揭秘全球最大国家级黑客行动

#比特币

2026/04/13 15:46

概述

朝鲜是全球唯一将加密货币盗窃上升为国家战略的政权。从2017年第一笔链上盗窃起步，到2025年单次劫走Bybit交易所15亿美元，朝鲜旗下的Lazarus Group已累计盗取超过67.5亿美元的加密资产。这不是普通的网络犯罪，而是一个被国际制裁封锁的政权，通过加密货币的去中心化特性，为其核武器项目输血续命。本文将从"为什么是加密货币"这一核心问题出发，拆解朝鲜的盗窃动机、技术手段、洗钱路径，以及这一现象对整个加密行业的深远影响。

Key Takeaways

朝鲜Lazarus Group自2017年以来已累计盗取超过67.5亿美元加密资产，2025年单年盗取金额突破20亿美元创历史新高

加密货币盗窃是平壤在国际制裁下最主要的硬通货来源，被美国情报界明确定性为核武器与弹道导弹项目的资金来源

朝鲜之所以选择"公开盗窃"而非像俄罗斯或伊朗那样隐秘使用加密货币，根本原因是其没有实体经济，加密盗窃是替代被制裁封锁的整个经济体系的唯一出路

Lazarus Group已进化为高度组织化的"犯罪国家机器"，具备社会工程、供应链攻击、内部渗透等多种攻击手段

每一次大规模盗窃事件都推动了整个行业安全标准的提升，交易所和用户都需要保持高度警惕

一、朝鲜为何偏偏盯上加密货币？

要理解朝鲜为何公然、持续地盗窃加密货币，必须先理解它的处境。

自2006年第一次核试验以来，朝鲜遭到联合国、美国、欧盟等多轮累加制裁，涵盖金融服务、矿产、金属、军火等几乎所有创汇渠道。传统金融体系对平壤几乎完全关闭。

然而，加密货币打开了一扇新的大门。

Symplexia Labs的一篇深度分析引用网络安全专家Dave Schwed的话指出："朝鲜没有等待的资本。他们处于全面国际制裁之下，需要硬通货来资助武器项目。联合国和多个情报机构已证实，加密盗窃是其核武器和弹道导弹研发的主要资金来源。"

与俄罗斯用加密货币规避制裁、伊朗用加密货币资助代理人网络不同，朝鲜根本没有石油、天然气这样的实体出口经济作为底盘。对平壤而言，加密货币不是支付工具，而是对整个被制裁封锁的经济体的替代方案。

更关键的是，区块链协议层面没有任何传统金融的安全缓冲机制。正如ENS Labs首席信息安全官Alexander Urbelis所说："一旦交易被签名确认，就是不可逆的。" Bybit事件中，15亿美元在约30分钟内转移完毕——这在传统银行体系中几乎不可能发生。

这一"即时性"与"不可逆性"，正是朝鲜将加密行业作为核心打劫目标的结构性原因。

二、Lazarus Group：从黑客小队到国家盗窃机器

Lazarus Group最初以针对韩国和美国政府机构的网络间谍行动出名，真正开始系统性盗窃加密货币要从2017年说起。那一年，正值国际社会对朝鲜核试验实施最严厉制裁，加密货币价格也开始飞速上涨。两个时间节点的重叠并非巧合。

根据TRM Labs的研究，Lazarus Group并非普通意义上的国家支持黑客组织——"Lazarus Group就是朝鲜，朝鲜就是Lazarus Group"，该组织是平壤情报机构侦察总局的直属部门。

从规模来看，这一组织的成长轨迹令人触目惊心：

2017年：盗取韩国交易所Bithumb 700万美元，正式进入加密盗窃赛道

2022年：通过Axie Infinity Ronin桥接漏洞盗取超过6亿美元，震惊整个DeFi世界

2023年：全年多次出击，波及CoinEx、Atomic Wallet、Stake.com等平台，合计损失数亿美元

2024年：根据Chainalysis数据，朝鲜关联黑客全年盗取13.4亿美元，占所有平台被盗总额的61%

2025年2月21日：一次性从Bybit盗取近15亿美元以太坊，创下单次加密盗窃历史纪录；全年合计突破20亿美元

Chainalysis的报告显示，2025年上半年，朝鲜关联黑客盗取的加密货币已超过21.7亿美元，超过了2024年全年总量。更令人不安的是，攻击次数下降了74%，但单次攻击金额大幅飙升——说明Lazarus Group正在将资源集中于更精准、更高价值的目标。

三、盗窃手法全拆解：朝鲜怎么偷？

Lazarus Group的攻击不依赖单一漏洞，而是一套精密的多维攻击体系：

1. 社会工程与鱼叉式网络钓鱼

几乎所有重大盗窃事件都始于社会工程。黑客在LinkedIn、GitHub等平台伪装成招聘者或技术同行，与目标建立信任关系，有时持续数周，再发送含有恶意软件的文件。Ronin网络的6亿美元盗窃案，就是从一封发给Axie Infinity工程师的伪造"海外工作机会"邮件开始的。

根据hacken.io的分析，Lazarus团队几乎24小时轮班运作，具备高度组织化的运营体系。

2. 供应链攻击与内部渗透

Bybit事件的导火索，是黑客入侵了Safe{Wallet}的一台开发者设备，在一笔看似正当的交易上植入恶意代码。这种针对第三方供应商的攻击，让即便是"安全措施领先"的交易所也难以防范。

Chainalysis报告指出，2025年DPRK黑客采用了新的协调式供应链攻击策略，目标直指第三方服务商和资产托管方。

3. 伪装IT工人渗透企业

这是近年来最隐秘、也最让行业恐慌的手法。朝鲜将大量程序员派驻海外，以假身份向加密公司和AI企业应聘，一旦入职便获得合法的系统访问权限，可长期潜伏并伺机盗窃。Chainalysis称，2024年仅此一项策略就有超过12家加密公司被渗透。

四、偷到币之后：精密的洗钱机器

盗窃只是第一步，将链上可追踪的赃款转化为政权可用的硬通货，才是真正的挑战。Bybit事件最令业界震惊的，是其洗钱速度：

攻击发生后两天内，1.6亿美元已通过非法渠道转移

17天内，86.29%的被盗ETH已被转换为比特币

整个洗钱流程平均约45天完成

TRM Labs政策负责人Ari Redbord指出，这一速度"在一年前还是难以想象的"，表明朝鲜的洗钱基础设施正在快速扩张。

洗钱路径高度复杂：混币器（Tornado Cash等）→ 跨链桥 → DEX代币互换 → OTC场外经纪商（主要集中在中国和东南亚）→ 通过中国UnionPay银行卡将USDT兑换为人民币法币，最终流入朝鲜控制的银行账户。

五、这笔钱最终用在哪里？

这是最令全球安全机构担忧的问题。

美国参议员Warren和Reed在致财政部的公开信中明确指出："朝鲜依靠加密货币盗窃来规避以美国为首的国际制裁……这些被盗资产帮助政权维持运转，并持续投入核武器和常规武器项目。"

美国财政部外国资产控制办公室（OFAC）2025年11月的制裁公告中，财政部副部长John K. Hurley直接表示："朝鲜国家支持的黑客盗窃并洗白资金，为政权的核武器项目提供资金。"

联合国多边制裁监督小组的报告则显示，加密货币盗窃所得与朝鲜对俄罗斯的武器销售一起，共同构成了平壤在2024年的主要外汇收入来源——甚至超过了2016年扩大制裁之前的水平。约40%的盗窃所得被直接用于核武器和其他武器研发。

六、为什么是"公开"盗窃？

这是最让外界困惑的一个维度：朝鲜黑客在公开的区块链上留下清晰的资金流向痕迹，为何还要大张旗鼓地干？

答案在于经济结构差异：俄罗斯有石油，伊朗有代理人网络，它们用加密货币只是为了规避部分支付摩擦，有足够的时间和资源保持隐秘。但朝鲜没有任何实体经济支撑，它不得不快速、大规模地变现，容忍被追踪的风险。

CoinDesk的深度报道一针见血："对平壤来说，加密货币不是支付通道，而是对一个被制裁封死的经济体的替代。这种生死存亡的动机，使朝鲜对加密行业构成独一无二的威胁——它将情报机构的耐心和国家资源投入到本质上是有组织金融犯罪的行为中，攻击的是生态系统本身。"

七、行业影响与安全启示

每一次朝鲜主导的大规模盗窃，都在倒逼行业安全标准的提升：

多签钱包安全：Bybit事件后，多签方案的漏洞与Safe{Wallet}供应链安全成为全行业讨论重点

员工背景核查：朝鲜IT工人渗透事件促使加密公司大幅强化招聘审查流程

链上监控能力：Chainalysis、TRM Labs等机构的实时追踪能力在Bybit事件中发挥了关键作用，帮助多个交易所冻结部分赃款

跨行业情报共享：安全专家普遍认为，打击朝鲜级别的威胁，需要交易所、区块链分析公司与执法机构之间快速、系统的情报共享机制

对于普通加密用户而言，保持在合规、有完善安全机制的平台进行交易是降低风险的最直接方式。在 MEXC 等具备多层次安全防护机制的主流交易所上，用户资产受到更完善的保障体系支撑。

在安全、合规的平台上开启你的加密之旅

免费注册 MEXC，立即开始交易

FAQ

Q1：朝鲜的Lazarus Group到底是什么组织？

Lazarus Group是朝鲜侦察总局直属的国家级黑客组织，美国政府最早于2007年将其记录在案。它并非普通的国家支持网络犯罪团伙，而是朝鲜情报和军事体系的直接延伸，专门负责网络间谍行动和加密货币盗窃，是迄今为止全球最具破坏力的加密资产窃贼。

Q2：朝鲜偷了多少加密货币？

根据Chainalysis数据，朝鲜关联黑客自2017年以来累计盗取超过67.5亿美元加密资产。仅2025年一年，盗取金额就突破20亿美元，创历史新高。

Q3：Bybit被盗事件是怎么发生的？

2025年2月21日，Lazarus Group入侵了Safe{Wallet}的开发者设备，在一笔从冷钱包到热钱包的例行转账中植入恶意代码，成功绕过多签验证，将约15亿美元以太坊转移至其控制的地址。FBI于2月26日正式将此次攻击归因于朝鲜。

Q4：被盗的加密货币用于哪些用途？

根据美国情报界评估和联合国调查，被盗资产约40%直接用于支持朝鲜的核武器和弹道导弹研发项目，其余则用于维持政权运转和规避制裁。

Q5：加密货币用户应该如何保护自己？

选择具有完善安全机制的主流合规交易所，启用双重认证（2FA），对不明来源的"工作机会"保持高度警惕，避免在非官方渠道存储大量资产。定期关注区块链安全公司发布的威胁报告，有助于及时了解新型攻击手法。

Q6：为什么朝鲜不选择更隐蔽的方式使用加密货币？

因为朝鲜没有实体经济作为后盾，必须以快速、大规模盗窃的方式获取硬通货，而非像俄罗斯、伊朗那样将加密货币仅用于小规模支付规避。生存压力迫使其容忍被追踪的风险，接受"公开盗窃"的代价。

免责声明

本文由 MEXC Crypto Pulse Team 撰写，仅供信息参考，不构成任何投资建议或财务指导。文中所引用的数据、案例及机构观点均来自公开可验证的第三方来源，作者已尽力确保内容准确性，但不对任何因参考本文而产生的投资决策或损失承担责任。加密货币市场波动剧烈，存在较高风险，请根据个人风险承受能力谨慎决策。