概述朝鮮是全球唯一將加密貨幣盜竊上升爲國家戰略的政權。從2017年第一筆鏈上盜竊起步，到2025年單次劫走Bybit交易所15億美元，朝鮮旗下的Lazarus Group已累計盜取超過67.5億美元的加密資產。這不是普通的網絡犯罪，而是一個被國際制裁封鎖的政權，通過加密貨幣的去中心化特性，爲其核武器項目輸血續命。本文將從"爲什麼是加密貨幣"這一核心問題出發，拆解朝鮮的盜竊動機、技術手段、洗錢路徑概述朝鮮是全球唯一將加密貨幣盜竊上升爲國家戰略的政權。從2017年第一筆鏈上盜竊起步，到2025年單次劫走Bybit交易所15億美元，朝鮮旗下的Lazarus Group已累計盜取超過67.5億美元的加密資產。這不是普通的網絡犯罪，而是一個被國際制裁封鎖的政權，通過加密貨幣的去中心化特性，爲其核武器項目輸血續命。本文將從"爲什麼是加密貨幣"這一核心問題出發，拆解朝鮮的盜竊動機、技術手段、洗錢路徑

朝鮮爲何公然大肆偷盜加密貨幣？揭祕全球最大國家級黑客行動

#比特幣

2026/04/13 15:46

概述

朝鮮是全球唯一將加密貨幣盜竊上升爲國家戰略的政權。從2017年第一筆鏈上盜竊起步，到2025年單次劫走Bybit交易所15億美元，朝鮮旗下的Lazarus Group已累計盜取超過67.5億美元的加密資產。這不是普通的網絡犯罪，而是一個被國際制裁封鎖的政權，通過加密貨幣的去中心化特性，爲其核武器項目輸血續命。本文將從"爲什麼是加密貨幣"這一核心問題出發，拆解朝鮮的盜竊動機、技術手段、洗錢路徑，以及這一現象對整個加密行業的深遠影響。

關鍵收穫

朝鮮Lazarus Group自2017年以來已累計盜取超過67.5億美元加密資產，2025年單年盜取金額突破20億美元創歷史新高

加密貨幣盜竊是平壤在國際制裁下最主要的硬通貨來源，被美國情報界明確定性爲核武器與彈道導彈項目的資金來源

朝鮮之所以選擇"公開盜竊"而非像俄羅斯或伊朗那樣隱祕使用加密貨幣，根本原因是其沒有實體經濟，加密盜竊是替代被制裁封鎖的整個經濟體系的唯一出路

Lazarus Group已進化爲高度組織化的"犯罪國家機器"，具備社會工程、供應鏈攻擊、內部滲透等多種攻擊手段

每一次大規模盜竊事件都推動了整個行業安全標準的提升，交易所和用戶都需要保持高度警惕

一、朝鮮爲何偏偏盯上加密貨幣？

要理解朝鮮爲何公然、持續地盜竊加密貨幣，必須先理解它的處境。

自2006年第一次核試驗以來，朝鮮遭到聯合國、美國、歐盟等多輪累加制裁，涵蓋金融服務、礦產、金屬、軍火等幾乎所有創匯渠道。傳統金融體系對平壤幾乎完全關閉。

然而，加密貨幣打開了一扇新的大門。

Symplexia Labs的一篇深度分析引用網絡安全專家Dave Schwed的話指出："朝鮮沒有等待的資本。他們處於全面國際制裁之下，需要硬通貨來資助武器項目。聯合國和多個情報機構已證實，加密盜竊是其核武器和彈道導彈研發的主要資金來源。"

與俄羅斯用加密貨幣規避制裁、伊朗用加密貨幣資助代理人網絡不同，朝鮮根本沒有石油、天然氣這樣的實體出口經濟作爲底盤。對平壤而言，加密貨幣不是支付工具，而是對整個被制裁封鎖的經濟體的替代方案。

更關鍵的是，區塊鏈協議層面沒有任何傳統金融的安全緩衝機制。正如ENS Labs首席信息安全官Alexander Urbelis所說："一旦交易被簽名確認，就是不可逆的。" Bybit事件中，15億美元在約30分鐘內轉移完畢——這在傳統銀行體系中幾乎不可能發生。

這一"即時性"與"不可逆性"，正是朝鮮將加密行業作爲核心打劫目標的結構性原因。

二、Lazarus Group：從黑客小隊到國家盜竊機器

Lazarus Group最初以針對韓國和美國政府機構的網絡間諜行動出名，真正開始系統性盜竊加密貨幣要從2017年說起。那一年，正值國際社會對朝鮮核試驗實施最嚴厲制裁，加密貨幣價格也開始飛速上漲。兩個時間節點的重疊並非巧合。

根據TRM Labs的研究，Lazarus Group並非普通意義上的國家支持黑客組織——"Lazarus Group就是朝鮮，朝鮮就是Lazarus Group"，該組織是平壤情報機構偵察總局的直屬部門。

從規模來看，這一組織的成長軌跡令人觸目驚心：

2017年：盜取韓國交易所Bithumb 700萬美元，正式進入加密盜竊賽道

2022年：通過Axie Infinity Ronin橋接漏洞盜取超過6億美元，震驚整個DeFi世界

2023年：全年多次出擊，波及CoinEx、Atomic Wallet、Stake.com等平臺，合計損失數億美元

2024年：根據Chainalysis數據，朝鮮關聯黑客全年盜取13.4億美元，佔所有平臺被盜總額的61%

2025年2月21日：一次性從Bybit盜取近15億美元以太坊，創下單次加密盜竊歷史紀錄；全年合計突破20億美元

Chainalysis的報告顯示，2025年上半年，朝鮮關聯黑客盜取的加密貨幣已超過21.7億美元，超過了2024年全年總量。更令人不安的是，攻擊次數下降了74%，但單次攻擊金額大幅飆升——說明Lazarus Group正在將資源集中於更精準、更高價值的目標。

三、盜竊手法全拆解：朝鮮怎麼偷？

Lazarus Group的攻擊不依賴單一漏洞，而是一套精密的多維攻擊體系：

1. 社會工程與魚叉式網絡釣魚

幾乎所有重大盜竊事件都始於社會工程。黑客在LinkedIn、GitHub等平臺僞裝成招聘者或技術同行，與目標建立信任關係，有時持續數週，再發送含有惡意軟件的文件。Ronin網絡的6億美元盜竊案，就是從一封發給Axie Infinity工程師的僞造"海外工作機會"郵件開始的。

根據hacken.io的分析，Lazarus團隊幾乎24小時輪班運作，具備高度組織化的運營體系。

2. 供應鏈攻擊與內部滲透

Bybit事件的導火索，是黑客入侵了Safe{Wallet}的一臺開發者設備，在一筆看似正當的交易上植入惡意代碼。這種針對第三方供應商的攻擊，讓即便是"安全措施領先"的交易所也難以防範。

Chainalysis報告指出，2025年DPRK黑客採用了新的協調式供應鏈攻擊策略，目標直指第三方服務商和資產託管方。

3. 僞裝IT工人滲透企業

這是近年來最隱祕、也最讓行業恐慌的手法。朝鮮將大量程序員派駐海外，以假身份向加密公司和AI企業應聘，一旦入職便獲得合法的系統訪問權限，可長期潛伏並伺機盜竊。Chainalysis稱，2024年僅此一項策略就有超過12家加密公司被滲透。

四、偷到幣之後：精密的洗錢機器

盜竊只是第一步，將鏈上可追蹤的贓款轉化爲政權可用的硬通貨，纔是真正的挑戰。Bybit事件最令業界震驚的，是其洗錢速度：

攻擊發生後兩天內，1.6億美元已通過非法渠道轉移

17天內，86.29%的被盜ETH已被轉換爲比特幣

整個洗錢流程平均約45天完成

TRM Labs政策負責人Ari Redbord指出，這一速度"在一年前還是難以想象的"，表明朝鮮的洗錢基礎設施正在快速擴張。

洗錢路徑高度複雜：混幣器（Tornado Cash等）→ 跨鏈橋 → DEX代幣互換 → OTC場外經紀商（主要集中在中國和東南亞）→ 通過中國UnionPay銀行卡將USDT兌換爲人民幣法幣，最終流入朝鮮控制的銀行賬戶。

五、這筆錢最終用在哪裏？

這是最令全球安全機構擔憂的問題。

美國參議員Warren和Reed在致財政部的公開信中明確指出："朝鮮依靠加密貨幣盜竊來規避以美國爲首的國際制裁……這些被盜資產幫助政權維持運轉，並持續投入核武器和常規武器項目。"

美國財政部外國資產控制辦公室（OFAC）2025年11月的制裁公告中，財政部副部長John K. Hurley直接表示："朝鮮國家支持的黑客盜竊並洗白資金，爲政權的核武器項目提供資金。"

聯合國多邊制裁監督小組的報告則顯示，加密貨幣盜竊所得與朝鮮對俄羅斯的武器銷售一起，共同構成了平壤在2024年的主要外匯收入來源——甚至超過了2016年擴大制裁之前的水平。約40%的盜竊所得被直接用於核武器和其他武器研發。

六、爲什麼是"公開"盜竊？

這是最讓外界困惑的一個維度：朝鮮黑客在公開的區塊鏈上留下清晰的資金流向痕跡，爲何還要大張旗鼓地幹？

答案在於經濟結構差異：俄羅斯有石油，伊朗有代理人網絡，它們用加密貨幣只是爲了規避部分支付摩擦，有足夠的時間和資源保持隱祕。但朝鮮沒有任何實體經濟支撐，它不得不快速、大規模地變現，容忍被追蹤的風險。

CoinDesk的深度報道一針見血："對平壤來說，加密貨幣不是支付通道，而是對一個被制裁封死的經濟體的替代。這種生死存亡的動機，使朝鮮對加密行業構成獨一無二的威脅——它將情報機構的耐心和國家資源投入到本質上是有組織金融犯罪的行爲中，攻擊的是生態系統本身。"

七、行業影響與安全啓示

每一次朝鮮主導的大規模盜竊，都在倒逼行業安全標準的提升：

多籤錢包安全：Bybit事件後，多籤方案的漏洞與Safe{Wallet}供應鏈安全成爲全行業討論重點

員工背景覈查：朝鮮IT工人滲透事件促使加密公司大幅強化招聘審查流程

鏈上監控能力：Chainalysis、TRM Labs等機構的實時追蹤能力在Bybit事件中發揮了關鍵作用，幫助多個交易所凍結部分贓款

跨行業情報共享：安全專家普遍認爲，打擊朝鮮級別的威脅，需要交易所、區塊鏈分析公司與執法機構之間快速、系統的情報共享機制

對於普通加密用戶而言，保持在合規、有完善安全機制的平臺進行交易是降低風險的最直接方式。在 MEXC 等具備多層次安全防護機制的主流交易所上，用戶資產受到更完善的保障體系支撐。

在安全、合規的平臺上開啓你的加密之旅

免費註冊 MEXC，立即開始交易

常見問題解答

Q1：朝鮮的Lazarus Group到底是什麼組織？

Lazarus Group是朝鮮偵察總局直屬的國家級黑客組織，美國政府最早於2007年將其記錄在案。它並非普通的國家支持網絡犯罪團伙，而是朝鮮情報和軍事體系的直接延伸，專門負責網絡間諜行動和加密貨幣盜竊，是迄今爲止全球最具破壞力的加密資產竊賊。

Q2：朝鮮偷了多少加密貨幣？

根據Chainalysis數據，朝鮮關聯黑客自2017年以來累計盜取超過67.5億美元加密資產。僅2025年一年，盜取金額就突破20億美元，創歷史新高。

Q3：Bybit被盜事件是怎麼發生的？

2025年2月21日，Lazarus Group入侵了Safe{Wallet}的開發者設備，在一筆從冷錢包到熱錢包的例行轉賬中植入惡意代碼，成功繞過多籤驗證，將約15億美元以太坊轉移至其控制的地址。FBI於2月26日正式將此次攻擊歸因於朝鮮。

Q4：被盜的加密貨幣用於哪些用途？

根據美國情報界評估和聯合國調查，被盜資產約40%直接用於支持朝鮮的核武器和彈道導彈研發項目，其餘則用於維持政權運轉和規避制裁。

Q5：加密貨幣用戶應該如何保護自己？

選擇具有完善安全機制的主流合規交易所，啓用雙重認證（2FA），對不明來源的"工作機會"保持高度警惕，避免在非官方渠道存儲大量資產。定期關注區塊鏈安全公司發佈的威脅報告，有助於及時瞭解新型攻擊手法。

Q6：爲什麼朝鮮不選擇更隱蔽的方式使用加密貨幣？

因爲朝鮮沒有實體經濟作爲後盾，必須以快速、大規模盜竊的方式獲取硬通貨，而非像俄羅斯、伊朗那樣將加密貨幣僅用於小規模支付規避。生存壓力迫使其容忍被追蹤的風險，接受"公開盜竊"的代價。

免責聲明

本文由 MEXC Crypto Pulse Team 撰寫，僅供信息參考，不構成任何投資建議或財務指導。文中所引用的數據、案例及機構觀點均來自公開可驗證的第三方來源，作者已盡力確保內容準確性，但不對任何因參考本文而產生的投資決策或損失承擔責任。加密貨幣市場波動劇烈，存在較高風險，請根據個人風險承受能力謹慎決策。