區塊鏈情報公司TRM Labs表示,北韓駭客在2026年前四個月期間竊取了約5.77億美元,這筆金額佔同期全球加密貨幣駭客攻擊損失的76%。
TRM在一份報告中指出,這些損失源於四月份的兩起事件,包括2.92億美元的KelpDAO漏洞攻擊和2.85億美元的Drift Protocol攻擊,這兩起事件佔2026年截至四月總駭客攻擊事件的3%。
根據報告,Drift攻擊來自一個與TraderTraitor(這個廣為人知的Lazarus相關組織)不同的北韓子團體,儘管具體歸屬仍在調查中。報告稱,KelpDAO的洩露事件是TraderTraitor所為。
TRM團隊表示,Drift的駭客攻擊涉及北韓代理人與Drift員工之間長達數月面對面會談,並指出攻擊早在3月11日就開始佈局,當時攻擊者在Solana上創建了持久性隨機數(durable nonce)帳戶,並誘使Drift的安全委員會多簽名者預授權交易。
該團隊補充道,攻擊者隨後於4月1日,即Drift將其安全委員會遷移到新的2/5閾值配置且沒有時間鎖定後的幾天,部署了31筆預簽名提款,在約12分鐘的快速執行階段內抽乾了資金。這些資金後來被橋接到以太坊,此後大部分時間都處於休眠狀態。
同時,KelpDAO攻擊則循著不同的技術路徑,根據報告,它透過破壞RPC基礎設施並操縱跨鏈驗證邏輯,利用了LayerZero橋中的單一驗證器設計。
TRM表示,攻擊者在強制驗證轉移到受損節點後,竊取了約116,500枚rsETH,隨後這些資金在Arbitrum上部分資產被凍結後,透過包括THORChain在內的跨鏈基礎設施進行洗錢。
TRM團隊表示,北韓在全球加密貨幣駭客攻擊損失中所佔的份額「加速」增長,而非趨於平穩,從2020年和2021年的不到10%,上升到2022年的22%、2023年的37%、2024年的39%和2025年的64%。自2017年以來,累計歸因於北韓的盜竊金額已超過60億美元。
該公司指出,2025年Bybit遭受14.6億美元的洩露事件是北韓近期活動模式的一個關鍵轉折點。TRM表示,此後,北韓的行動節奏保持一致,精英團體優先發動數量較少但影響較大的攻擊,目標鎖定橋接器、多重簽名治理系統和跨鏈基礎設施。
TRM表示,Drift和KelpDAO事件突顯了不同的洗錢方式。一個與Drift相關的團體在最初橋接到以太坊後,將資產大部分時間保持不活躍狀態,並可能「將所得款項持有數月或數年,然後執行有結構、多階段的套現」。
同時,KelpDAO攻擊者則透過THORChain將資金透過跨鏈兌換更快速地轉移到比特幣,TRM指出,正在進行的洗錢階段主要由中國中介機構處理,而非北韓人本身。
TRM概述的合規監控重點包括來自受損橋接環境的THORChain相關資金流動、跨橋接基礎設施的多跳交易追蹤,以及篩選涉及持久性隨機數交易的Solana治理相關存款路徑。
該公司還強調了Beacon Network在交易所和DeFi協議中的參與,作為一旦識別出與北韓相關的地址後,加速跨平台警報的一種機制。
免責聲明:The Block是一個獨立的媒體機構,提供新聞、研究和數據。截至2023年11月,Foresight Ventures是The Block的主要投資者。Foresight Ventures也投資了加密貨幣領域的其他公司。加密貨幣交易所Bitget是Foresight Ventures的錨定有限合夥人(anchor LP)。The Block持續獨立運作,旨在提供關於加密貨幣產業客觀、具影響力且及時的資訊。以下是我們目前的財務披露。
© 2026 The Block。保留所有權利。本文僅供參考。本文不提供或意圖作為法律、稅務、投資、財務或其他方面的建議。
