北韓駭客 2025 年盜竊創紀錄：竊取 20.2 億美元加密貨幣，洗錢周期約 45 天

Chainalysis 最新報告揭示，北韓駭客 2025 年以更少的攻擊次數竊取了創紀錄的 20.2 億美元加密貨幣，同比增長 51%，累計盜竊總額已達 67.5 億美元，並詳細分析其 45 天的結構化洗錢周期。本文源自 Chainalysis 研究報告《North Korea Drives Record $2 Billion Crypto Theft Year》，由動區編譯潤飾而成。 （前情提要：錢包、警告與薄弱環節：2025 年加密貨幣安全攻擊全解析） （背景補充：Bybit 內部出包？安全專家：北韓駭客 Lazarus 疑似入侵交易所員工電腦取得錢包多簽權限）   針對連年來北韓駭客對加密產業的攻擊，區塊鏈分析公司 Chainalysis 在 2025 年駭客攻擊報告中著重分析了北韓駭客的攻擊行徑。 總體情況：2025 年被盜金額超 34 億美元 2025 年 1 月至 12 月初，加密產業被盜金額超過 34 億美元，其中僅 2 月 Bybit 遭受的攻擊就佔了 15 億美元。 2025 年加密產業被盜金額統計 | 圖片來源：Chainalysis 資料還揭示了這些盜竊事件的重要變化。個人錢包被盜事件大幅增加，從 2022 年佔被盜總價值的 7.3% 上升到 2024 年的 44%。若不是 Bybit 攻擊事件影響巨大，2025 年這一比例或將達到 37%。 與此同時，由於針對私鑰基礎設施和簽名流程的複雜攻擊，中心化服務正遭受越來越大的損失。儘管這些平台擁有機構資源和專業的安全團隊，但仍易受到能夠繞過冷錢包控制的威脅。儘管此類入侵事件並不頻繁，但一旦發生，會造成巨額被盜資金，在 2025 年第一季度，此類事件造成的損失佔總損失的 88%。許多攻擊者已經開發出利用第三方錢包整合的方法，並誘使簽名者授權惡意交易。 中心化服務攻擊事件與損失比例 | 圖片來源：Chainalysis 儘管加密安全在某些領域可能有所改善，但被盜金額居高不下表明，攻擊者仍能夠透過多種途徑取得成功。 前三大駭客攻擊造成的損失佔總損失的 69%，極端值達到中位數的 1000 倍 資金被盜事件歷來受極端事件驅動，大多數駭客攻擊規模相對較小，但也有少數規模巨大。然而，2025 年的情況出現了惡化：最大規模的駭客攻擊與所有事件中位數之間的比率首次突破了 1000 倍的門檻。如今，最大規模攻擊中被盜的資金是普通事件中被盜資金的 1000 倍，甚至超過了 2021 年牛市的峰值。這些計算是基於被盜資金在被盜時的美元價值。 極端攻擊規模與中位數損失比較 | 圖片來源：Chainalysis 這種日益擴大的差距使損失高度集中。2025 年前三大駭客攻擊造成的損失佔所有損失的 69%，單個事件對年度總損失的影響異常顯著。儘管攻擊頻率可能波動，且隨著資產價格的上漲，中位數損失也會增加，但個別重大漏洞造成的潛在損失仍在以更快的速度上升。 儘管已確認的攻擊事件有所減少，但北韓仍是主要威脅 儘管攻擊頻率大幅下降，但北韓仍是對加密安全構成最嚴重威脅的國家，其在 2025 年竊取的加密貨幣資金創下新高，至少達 20.2 億美元（比 2024 年多 6.81 億美元），同比增長 51%。就被盜金額而言，這是北韓加密貨幣盜竊案有記錄以來最嚴重的一年，北韓發起的攻擊佔所有入侵事件的 76%，創下歷史新高。總體而言，北韓竊取加密貨幣的累計總額，最低估值達到 67.5 億美元。 北韓駭客越來越多地透過將 IT 人員安插加密服務內部以獲取特權訪問權限並實施重大攻擊。今年創紀錄的攻擊事件在一定程度上可能反映出，北韓更多地依賴 IT 人員在交易所、託管機構和 Web3 公司中的滲透，這可以加快初始訪問和橫向移動，從而為大規模盜竊創造條件。 然而，最近與北韓有關聯的駭客組織徹底顛覆了這種 IT 工作者模式。他們不再只是申請職位並以員工身份潛入，而是越來越多地冒充知名 Web3 和 AI 公司的招聘人員，精心策劃虛假的招聘流程，最終以「技術篩選」為幌子，獲取受害者的登入憑證、原始碼以及其當前雇主的 VPN 或單點登入（SSO）訪問權限。在高管層面，類似的社交工程手段以虛假的戰略投資者或收購方的接觸形式出現，他們利用推介會議和偽盡職調查來探查敏感的系統資訊以及潛在的高價值基礎設施——這種演變直接建立在北韓 IT 工作者欺詐行動的基礎之上，並且聚焦於具有戰略重要性的 AI 和區塊鏈公司。 北韓駭客攻擊次數與損失趨勢 | 圖片來源：Chainalysis 正如過去幾年所見，北韓持續實施的網路攻擊價值遠高於其他駭客。如下圖所示，從 2022 年至 2025 年，北韓駭客攻擊佔據最高價值區間，而非北韓駭客攻擊在所有盜竊規模中分佈較為正常。這種模式進一步表明，當北韓駭客發動攻擊時，他們瞄準大型服務，力求造成最大影響。 北韓與非北韓駭客攻擊金額分佈對比 | 圖片來源：Chainalysis 今年創紀錄的損失來自已知事件的大幅減少。這種轉變（事件減少但損失大幅增加）反映了 2025 年 2 月 Bybit 大規模駭客攻擊事件的影響。 北韓獨特的洗錢模式 2025 年初大量被盜資金的湧入，揭示了北韓駭客如何大規模清洗加密貨幣。他們的模式與其他網路犯罪分子截然不同，並且隨著時間的推移而演變。 北韓洗錢活動的資金轉移模式 | 圖片來源：Chainalysis 北韓的洗錢活動呈現出明顯的「分檔」模式，超 60% 的交易量集中在 50 萬美元以下。相比之下，其他駭客在鏈上轉移的資金中，超過 60% 是在 100 萬至 1000 萬美元以上的區間內分批進行。儘管北韓每次洗錢的金額都高於其他駭客，但他們卻將鏈上轉帳分成更小的批次，凸顯了洗錢手段的複雜性。 與其他駭客相比，北韓在某些洗錢環節表現出明顯的偏好： 北韓駭客往往傾向於： 中文資金轉移和擔保服務（+355% 至 1000% 以上）：這是最鮮明的特點，嚴重依賴中文擔保服務以及由眾多可能合規控制較弱的洗錢營運商組成的洗錢網路。 跨鏈橋服務（+97...