跳到主要内容

Lazarus 小组的 34 亿美元加密货币大劫案:国家支持的网络犯罪新时代

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

数字令人震惊:2025 年加密货币平台共有 34 亿美元被盗,其中近三分之二由单一国家行为体所为。北韩的 Lazarus Group 不仅打破了纪录,还重写了国家支持的网络犯罪规则——通过更少的攻击次数提取了呈指数级增长的价值。进入 2026 年,加密货币行业面临着一个不安的事实:过去五年的安全范式已从根本上失效。

34 亿美元的警钟

区块链情报公司 Chainalysis 在 2025 年 12 月发布了年度加密货币犯罪报告,证实了业内人士的担忧。加密货币盗窃总额达到 34 亿美元,其中北韩黑客掠夺了 20.2 亿美元——比 2024 年本已创纪录的 13.4 亿美元增加了 51%。这使得朝鲜民主主义人民共和国(DPRK)历年加密货币盗窃总额达到约 67.5 亿美元。

2025 年盗窃案的空前之处不仅在于金额,更在于效率。北韩黑客通过比往年减少 74% 的已知攻击次数实现了这一纪录级的收成。Lazarus Group 已从一个分散的威胁行为体演变为一种精准的金融战工具。

TRM Labs 和 Chainalysis 都独立验证了这些数字,其中 TRM 指出加密货币犯罪已变得比以往任何时候都更加“组织化和专业化”。攻击速度更快、协调性更好,且比以往周期更容易扩展。

Bybit 劫案:供应链攻击的典型案例

2025 年 2 月 21 日,加密货币世界见证了历史上最大的一桩单笔盗窃案。黑客从全球最大的加密货币交易所之一 Bybit 抽走了约 401,000 ETH——当时价值 15 亿美元。

这次攻击并不是暴力破解或智能合约漏洞。这是一场高超的供应链入侵。Lazarus Group 以化名 “TraderTraitor”(也称为 Jade Sleet 和 Slow Pisces)开展行动,针对流行的多重签名钱包提供商 Safe{Wallet} 的一名开发人员。通过在钱包的用户界面中注入恶意代码,他们完全绕过了传统的安全层。

在 11 天内,黑客洗清了 100% 的被盗资金。Bybit 首席执行官周本(Ben Zhou)在 3 月初透露,他们已经失去了对近 3 亿美元资金的追踪。FBI 于 2025 年 2 月 26 日正式将此次攻击归于北韩,但到那时,资金早已通过混币协议和跨链桥服务消失。

仅 Bybit 劫案就占了北韩 2025 年加密货币盗窃额的 74%,展示了战术上的惊人演变。正如安全公司 Hacken 所指出的,Lazarus Group 表现出“对中文洗钱服务、跨链桥服务和混币协议的明显偏好,在大规模盗窃后通常有 45 天的洗钱周期”。

Lazarus 的策略手册:从钓鱼到深度渗透

北韩的网络行动经历了根本性的转型。简单钓鱼攻击和热钱包入侵的时代已经过去。Lazarus Group 开发了一种多管齐下的策略,使检测几乎变得不可能。

Wagemole 策略

也许最阴险的策略是研究人员称之为 “Wagemole”(工资鼹鼠)的手段——在全球加密货币公司内部安插秘密 IT 员工。通过虚假身份或前端公司,这些特工获得了进入企业系统的合法访问权,包括加密货币公司、托管商和 Web3 平台。

这种方法使黑客能够完全绕过边界防御。他们不是闯入,而是早已身处其中。

AI 驱动的漏洞利用

2025 年,国家背景的团体开始使用人工智能来增强其运营的每个阶段。AI 现在可以在几分钟内扫描数千个智能合约,识别可利用的代码,并自动化多链攻击。过去需要数周人工分析的工作现在只需几小时。

Coinpedia 的分析显示,北韩黑客通过 AI 集成重新定义了加密货币犯罪,使其操作比以往任何时候都更具可扩展性且更难检测。

高管冒充

从纯技术漏洞向人为因素攻击的转变是 2025 年的一个明确趋势。安全公司指出,“异常损失绝大多数归因于访问控制失败,而非新颖的链上数学逻辑”。黑客的手段已从中毒的前端和多签 UI 技巧转向高管冒充和密钥窃取。

Bybit 之外:2025 年劫案全景

虽然 Bybit 占据了头条新闻,但北韩的行动远不止于单一目标:

  • DMM Bitcoin(日本):被盗 3.05 亿美元,导致该交易所最终倒闭
  • WazirX(印度):从印度最大的加密货币交易所抽走 2.35 亿美元
  • Upbit(韩国):2025 年底通过签名基础设施漏洞非法转移了 3600 万美元

这些并非孤立事件——它们代表了一场针对中心化交易所、去中心化金融平台和跨多个司法管辖区的个人钱包提供商的协同行动。

独立统计显示,全年共发生 300 多起重大安全事件,突显了整个加密货币生态系统的系统性脆弱性。

汇旺(Huione)关联:柬埔寨的 40 亿美元洗钱机器

在洗钱方面,美国财政部金融犯罪执法局(FinCEN)识别出了朝鲜行动中的一个关键节点:总部位于柬埔寨的汇旺集团(Huione Group)。

FinCEN 发现,汇旺集团在 2021 年 8 月至 2025 年 1 月期间至少洗钱了 40 亿美元的非法所得。区块链公司 Elliptic 估计,真实数字可能更接近 110 亿美元。

财政部的调查显示,汇旺集团处理了 3700 万美元直接与 Lazarus 组织相关的资金,其中包括来自 DMM Bitcoin 黑客攻击事件的 3500 万美元。该公司直接与朝鲜侦察总局(Pyongyang 主要的对外情报机构)合作。

使汇旺特别危险的原因在于其完全缺乏合规控制。其三个业务板块——Huione Pay(银行业务)、Huione Guarantee(担保业务)和 Huione Crypto(交易所)——均未发布反洗钱(AML)/ 了解你的客户(KYC)政策。

该公司与柬埔寨执政的洪氏家族(Hun family)有关联,其中包括作为大股东的洪玛奈(Hun Manet)首相的堂兄,这使得国际执法工作变得复杂,直到美国于 2025 年 5 月采取行动切断其进入美国金融系统的渠道。

监管响应:MiCA、PoR 及其他

2025 年盗窃案的规模加速了全球范围内的监管行动。

欧洲 MiCA 第二阶段

欧盟快速推进了《加密资产市场法案》(MiCA)的“第二阶段”,现在强制要求在欧元区运营的任何交易所对其第三方软件供应商进行季度审计。Bybit 黑客攻击的供应链攻击矢量促成了这一特定要求。

美国储备证明(PoR)授权

在美国,焦点已转向强制性的实时储备证明(PoR)要求。其理论是:如果交易所必须在链上实时证明其资产,可疑的资金外流将立即变得可见。

韩国《数字金融安全法》

继 Upbit 被黑之后,韩国金融服务委员会于 2025 年 12 月提出了《数字金融安全法》。该法案将强制执行冷存储比例、常规渗透测试,并加强对所有加密货币交易所可疑活动的监控。

2026 年防御所需

Bybit 漏洞迫使中心化交易所在管理安全方式上发生了根本性转变。行业领导者已经确定了 2026 年的几项关键升级:

多方计算(MPC)迁移

大多数顶级平台已从传统的智能合约多重签名迁移到多方计算(MPC)技术。与 2025 年被利用的 Safe{Wallet} 设置不同,MPC 将私钥分成碎片,这些碎片永远不会存在于单个位置,使得 UI 欺骗和“冰钓”(Ice Phishing)技术几乎无法执行。

冷存储标准

知名的托管交易所现在实施 90-95% 的冷存储比例,将绝大部分用户资金离线保存在硬件安全模块(HSM)中。多重签名钱包需要多个授权方批准大额交易。

供应链审计

2025 年的关键教训是,安全性从区块链延伸到了整个软件栈。交易所必须以审计自身代码同样的严格程度来审计其供应商关系。Bybit 黑客攻击的成功是因为第三方基础设施遭到破坏,而非交易所本身的漏洞。

人为因素防御

针对钓鱼攻击和安全密码实践的持续培训已成为强制要求,因为人为错误仍然是导致违规的主要原因。安全专家建议定期进行红蓝对抗演习,以识别安全流程管理中的薄弱环节。

抗量子升级

展望未来,后量子密码学(PQC)和量子安全硬件正在成为关键的未来防御手段。冷钱包市场从 2026 年到 2033 年预计 15.2% 的复合年增长率(CAGR)反映了机构对安全演进的信心。

前方的道路

Chainalysis 在其 2025 年报告中的结尾警告应在整个行业引起共鸣:“该国 2025 年创纪录的表现——是在已知攻击减少 74% 的情况下实现的——这表明我们可能只看到了其活动中最显眼的部分。2026 年的挑战将是在受朝鲜关联黑客发起另一次 Bybit 规模的事件之前,检测并防止这些高影响力的行动。”

朝鲜已经证明,在制裁规避和武器资金驱动下,国家支持的黑客可以超越行业防御。67.5 亿美元的累计总额不仅代表被盗的加密货币,还代表了导弹、核计划和政权的生存。

对于加密货币行业来说,2026 年必须是安全转型之年。不是渐进式的改进,而是对资产存储、访问和转移方式的根本性重新架构。Lazarus 组织已经表明,昨天的最佳实践就是今天的漏洞。

赌注从未如此之高。

保障区块链基础设施需要时刻保持警惕和行业领先的安全实践。BlockEden.xyz 提供具有多层安全架构的企业级节点基础设施,帮助开发者和企业在能够抵御不断演变威胁的基础上进行构建。

Share on Twitter