從Bybit到比特幣億萬富翁：北韓2025年網路犯罪激增內幕

根據區塊鏈分析公司Elliptic稱，光是2025年，北韓網路犯罪分子就竊取了超過2億美元的加密貨幣，創下了國家支持的數位竊盜新紀錄。這一數字已經達到了歷史最高水平，並且在今年年底前可能會進一步上升——這表明平壤的網路行動變得更加激進和專業化。

損失空前的一年

Elliptic 將激增主要歸因於 2 月份 Bybit 交易所 1.46 億美元的資料外洩事件這是史上最大的加密貨幣竊盜案。然而，該公司今年也將另外三十多起駭客攻擊事件與 Lazarus 等北韓組織連結起來。 

Elliptic 分析師 提到 實際數字可能更大；許多盜竊案在技術和行為上都有相似之處，但沒有足夠的法醫證據來明確歸因。

報告指出，存在持續的漏報問題：有些事件尚未被報告或發現；因此，很難確定全球造成的總損失。

Chainalysis 的數據證實了這一模式。與北韓有關的駭客設法 2024年約1.34億美元是前一年的兩倍，充分體現了北韓網路攻擊行動的快速發展。

安全專家表示，這些資金是政權的重要收入來源，在嚴厲的國際制裁下，政權利用數位竊盜來資助其武器和飛彈計畫。

從程式碼漏洞到人為操縱

雖然早期的攻擊利用了智慧合約程式碼或交換基礎設施中的漏洞，但今年的行動嚴重依賴社會工程學——欺騙人們而不是破壞軟體。

Elliptic 觀察到，加密安全的薄弱環節現在「越來越人為化」。駭客冒充投資者、招募人員和創投合作夥伴，接觸加密公司的高階主管和開發人員。

常見的騙局是使用虛假視訊通話，其中所謂的連接錯誤會提示受害者運行一段「診斷」代碼——一種允許攻擊者遠端存取錢包或公司係統的惡意軟體。

開發人員也受到工作機會的誘惑，要求他們透過植入惡意檔案的克隆儲存庫完成「技能測試」。

加密貨幣價格的上漲，包括比特幣屢創新高，只會加劇這個問題。隨著一夜致富，高淨值持有者往往缺乏大型交易所那樣的層層防護，成為主要目標。

重大事件體現了這一模式

今年 9 月，區塊鏈調查機構 ZachXBT 發現日本 SBI 集團子公司 SBI Crypto 有可疑資金流出。約 2,100 萬美元的比特幣、以太幣、萊特幣、狗狗幣和比特幣現金從與公司關聯的地址被盜，並透過即時交易所流入 Tornado Cash，後者是一項已獲美國財政部批准的混合服務。

扎克XBT 注意 這些策略與北韓政府支持的先前行動類似，這引發了人們對 SBI 事件是北韓支持的一系列搶劫案中又一個環節的擔憂。

SBI 集團尚未公開承認此違規行為，也未回應媒體的置評請求。 

即使是老牌的全球交易所也未能倖免。彭博社今年的一項調查顯示，Crypto.com 在 2023 年初遭遇安全漏洞，原因是隸屬於「散佈蜘蛛」組織的青少年駭客入侵了其員工帳戶。據稱，這次漏洞暴露了有限的用戶數據，但沒有資金被盜。

有傳言稱該平台淡化了這一事件，其對這一事件的處理方式招致了批評。

執行長克里斯·馬扎萊克（Kris Marszalek）駁斥了這些說法，稱其“毫無根據”，並強調此次網路釣魚攻擊已被迅速遏制並已向監管機構披露。他堅稱公司秉持「安全第一」的文化，並不斷強化其係統。

這些事件凸顯了一個令人警醒的現實：即使是資源充足、嚴格監管的公司也可能因一名員工而受到威脅。

內部工作和假開發者

據幣安聯合創始人趙長鵬稱，北韓駭客也從內部滲透加密貨幣公司，冒充 IT 專業人士或賄賂內部人員。

In X 上的最新帖子趙立堅警告稱，北韓特工“假扮求職者”，尋求發展、安全或金融領域的職位——獲得了字面意義上的 踏進門檻有些人甚至偽裝成雇主，引誘真正的員工參加虛假面試，在此期間，所謂的 Zoom 問題會導致安裝惡意「更新」。

還有一些人會發送“範例程式碼”或隱藏漏洞的鏈接，或假裝是需要技術幫助的客戶聯繫支援團隊。趙某表示，在某些情況下，犯罪者會向員工或承包商行賄，以換取資料存取權。

他敦促交易所加強招募規程和員工培訓，並強調許多攻擊都是從看似無辜的文件開始的。

這些警告與 Coinbase 的警告相呼應，Coinbase 最近也報告了類似的滲透企圖。

執行長 Brian Armstrong 表示，該公司已強制要求美國員工接受面對面培訓以及對具有系統級權限的任何人進行額外背景調查來加強內部安全。 

阿姆斯壯說，有時感覺好像 “每季都有數百名新員工畢業” 來自朝鮮的黑客學院。

海豹部隊的反攻

為了對抗這波浪潮mpostors，一群被稱為安全聯盟（SEAL）的白帽駭客一直在編纂與北韓有關的假開發者資料

據海豹突擊隊稱 發現，至少有 60 名北韓特工以虛假身分冒充自由職業 IT 工作者，包括偽造的 GitHub 帳戶、履歷，甚至偽造的公民身分證件。

該儲存庫列出了別名、電子郵件地址和附屬公司——其中包括幾家在不知情的情況下僱用他們的公司。

在 Paradigm 研究員 Samczsun 的帶領下，海豹部隊進行了 超過900項調查 自 2024 年推出以來。

他們的工作凸顯了間諜活動和就業之間的界線模糊，因為平壤特工越來越依賴合法的遠距工作平台來滲透西方科技和金融生態系統。

在一個案例中，四名臥底開發人員潛入多家新創公司並竊取了約 900,000 萬美元，這表明自由職業合約可以兼作網路間諜活動。

平壤的隱密勞動力

分析師認為，數十億美元的加密貨幣被盜——加上勒索軟體和IT人員詐騙——對北韓受制裁的經濟至關重要。這些資金有助於維持北韓的核子計畫和飛彈計劃，否則這些計畫將面臨資源匱乏的困境。

除了加密貨幣之外，Okta 的研究人員還追蹤到北韓「秘密 IT 工作者」正在向美國、中東和澳洲的人工智慧公司、金融科技新創公司、醫療保健組織甚至公共部門機構擴張。

這些特工不僅能獲得薪水，而且在某些情況下，他們還能獲得敏感的公司係統的存取權限，這些系統在他們的合約到期後可能會被濫用來竊取資料或進行勒索。

前方的路

綜合來看，2025年破紀錄的竊案彰顯了北韓網路行動的工業規模。最初只是針對交易所的伺機攻擊，如今已演變成一個集數位竊盜、社會工程和滲透於一體的複雜生態系統。

駭客、員工和情報人員之間的界線已經模糊——網路安全防禦的傳統界線也隨之模糊。

專家表示，如今的戰鬥不僅依賴科技，也依賴人類的警戒。有必要對遠距工作者進行更嚴格的審查，對員工進行嚴格的培訓，並加強國際執法合作。

正如 Elliptic 所警告的那樣， 加密貨幣安全的弱點不再只是代碼，而是人.