网络安全威胁和防御
查看所有标签
2025 年 2 月 21 日,朝鲜的 Lazarus Group 制造了历史上最大规模的加密货币盗窃案——通过单笔交易从 Bybit 的冷钱包中窃取了价值 15 亿美元的以太坊。一年后,数据揭示了一个令人清醒的事实:虽然区块链分析公司最初追踪到了 88.87% 的被盗资金,但仅有 3.54% 被冻结。其余资金仍存放在数千个钱包中,静静等待。
这不仅仅是一个抢劫故事。这是一个关于国家级黑客行动如何击溃整个行业安全基础设施的案例研究,以及加密货币领域在过去 12 个月里学到了什么——以及未能学到什么。
只需每个合约 1.22 美元,AI 代理现在就可以扫描智能合约中的可利用漏洞——且攻击性的漏洞利用能力每 1.3 个月就会翻倍。欢迎来到去中心化金融中最具影响力的军备竞赛。
2026 年 2 月,OpenAI 和 Paradigm 联合推出了 EVMbench,这是一个开源基准测试,用于评估 AI 代理在检测、修复和利用智能合约漏洞方面的有效性。结果令人警醒。GPT-5.3-Codex 成功利用了 72.2% 的已知漏洞合约,而六个月前这一比例仅为 31.9%。同时,一个专用的 AI 安全代理在 90 个被利用的 DeFi 合约(总价值 9680 万美元)中检测到了 92% 的漏洞——几乎是基准 GPT-5.1 编码代理 34% 检测率的三倍。
其中的含义显而易见:DeFi 安全的战斗已演变为一场 AI 对阵 AI 的竞赛,而且就目前而言,经济效益压倒性地倾向于攻击者。
一位 Polygon 联合创始人发现有陌生人询问他是否真的在和他们进行 Zoom 通话。一位 BTC Prague 的组织者看着屏幕上出现的一个令人信服的、由 AI 生成的知名加密货币 CEO 副本,随后被要求运行一个“快速音频修复”。一位 AI 初创公司创始人通过坚持使用 Google Meet 避免了感染——攻击者随后消失了。这些并非赛博朋克惊悚片中的场景。它们发生在 2026 年初,并且都有一个共同点:朝鲜迅速演变的深度伪造(Deepfake)社会工程机器。
大约 626 万枚比特币——价值在 6500 亿至 7500 亿美元之间——存储在易受量子攻击的地址中。虽然大多数专家认为,具有密码学意义的量子计算机还需要数年时间才能实现,但保护这些资产所需的基础设施无法在一夜之间建成。一项协议声称它已经有了答案,而美国证券交易委员会(SEC)也表示认同。
Naoris Protocol 成为首个被美国监管文件引用的去中心化安全协议,当时 SEC 的后量子金融基础设施框架(PQFIF)将其指定为量子安全区块链基础设施的参考模型。随着主网将在 2026 年第一季度末之前上线,测试网已处理了 1.04 亿次后量子交易,且合作伙伴涵盖了与北约(NATO)结盟的机构,Naoris 代表了一场激进的赌注:去中心化物理基础设施网络(DePIN)的下一个前沿不是计算或存储,而是网络安全本身。
你的冷钱包并不像你想象的那么安全。在 2025 年,针对私钥、钱包系统以及管理这些系统的人员的基础设施攻击占所有被盗加密货币的 76%,在仅 45 起事件中总计损失达 22 亿美元。朝鲜国家支持的黑客组织 Lazarus Group 完善了一套让传统冷存储安全几乎失去意义的策略:针对人而非代码的为期数月的渗透活动。
当 Safe{Wallet} 开发人员 "Developer1" 在 2025 年 2 月 4 日收到一份看似常规的请求时,他们根本没有想到自己的 Apple MacBook 会成为历史上最大规模加密货币劫案的切入点。在 17 天内,朝鲜的 Lazarus Group 利用这台被入侵的笔记本电脑从 Bybit 窃取了 15 亿美元 —— 这超过了一些国家的整个国内生产总值(GDP)。
这并非偶然。这是长达十年的进化的顶点,它将一群受国家资助的黑客转变为世界上最先进的加密货币窃贼,负责了至少 67.5 亿美元的累计盗窃案。
数字令人震惊:2025 年加密货币平台共有 34 亿美元被盗,其中近三分之二由单一国家行为体所为。北韩的 Lazarus Group 不仅打破了纪录,还重写了国家支持的网络犯罪规则——通过更少的攻击次数提取了呈指数级增长的价值。进入 2026 年,加密货币行业面临着一个不安的事实:过去五年的安全范式已从根本上失效。
区块链情报公司 Chainalysis 在 2025 年 12 月发布了年度加密货币犯罪报告,证实了业内人士的担忧。加密货币盗窃总额达到 34 亿美元,其中北韩黑客掠夺了 20.2 亿美元——比 2024 年本已创纪录的 13.4 亿美元增加了 51%。这使得朝鲜民主主义人民共和国(DPRK)历年加密货币盗窃总额达到约 67.5 亿美元。
2025 年盗窃案的空前之处不仅在于金额,更在于效率。北韩黑客通过比往年减少 74% 的已知攻击次数实现了这一纪录级的收成。Lazarus Group 已从一个分散的威胁行为体演变为一种精准的金融战工具。
TRM Labs 和 Chainalysis 都独立验证了这些数字,其中 TRM 指出加密货币犯罪已变得比以往任何时候都更加“组织化和专业化”。攻击速度��更快、协调性更好,且比以往周期更容易扩展。
2025 年 2 月 21 日,加密货币世界见证了历史上最大的一桩单笔盗窃案。黑客从全球最大的加密货币交易所之一 Bybit 抽走了约 401,000 ETH——当时价值 15 亿美元。
这次攻击并不是暴力破解或智能合约漏洞。这是一场高超的供应链入侵。Lazarus Group 以化名 “TraderTraitor”(也称为 Jade Sleet 和 Slow Pisces)开展行动,针对流行的多重签名钱包提供商 Safe{Wallet} 的一名开发人员。通过在钱包的用户界面中注入恶意代码,他们完全绕过了传统的安全层。
在 11 天内,黑客洗清了 100% 的被盗资金。Bybit 首席执行官周本(Ben Zhou)在 3 月初透露,他们已经失去了对近 3 亿美元资金的追踪。FBI 于 2025 年 2 月 26 日正式将此次攻击归于北韩,但到那时,资金早已通过混币协议和跨链桥服务消失。
仅 Bybit 劫案就占了北韩 2025 年加密货币盗窃额的 74%,展示了战术上的惊人演变。正如安全公司 Hacken 所指出的,Lazarus Group 表现出“对中文洗钱服务、跨链桥服务和混币协议的明显偏好,在大规模盗窃后通常有 45 天的洗钱周期”。
北韩的网络行动经历了根本性的转型。简单钓鱼攻击和热钱包入侵的时代已经过去。Lazarus Group 开发了一种多管齐下的策略,使检测几乎变得不可能。
也许最阴险的策略是研究人员称之为 “Wagemole”(工资鼹鼠)的手段——在全球加密货币公司内部安插秘密 IT 员工。通过虚假身份或前端公司,这些特工获得了进入企业系统的合法访问权,包括加密货币公司、托管商和 Web3 平台。
这种方法使黑客能够完全绕过边界防御。他们不是闯入,而是早已身处其中。
2025 年,国家背景的团体开始使用人工智能来增强其运营的每个阶段。AI 现在可以在几分钟内扫描数千个智能合约,识别可利用的代码,并自动化多链攻击。过去需要数周人工分析的工作现在只需几小时。
Coinpedia 的分析显示,北韩黑客通过 AI 集成重新定义了加密货币犯罪,使其操作比以往任何时候都更具可扩展性且更难检测。
从纯技术漏洞向人为因素攻击的转变是 2025 年的一个明确趋势。安全公司指出,“异常损失绝大多数归因于访问控制失败��,而非新颖的链上数学逻辑”。黑客的手段已从中毒的前端和多签 UI 技巧转向高管冒充和密钥窃取。
虽然 Bybit 占据了头条新闻,但北韩的行动远不止于单一目标:
这些并非孤立事件——它们代表了一场针对中心化交易所、去中心化金融平台和跨多个司法管辖区的个人钱包提供商的协同行动。
独立统计显示,全年共发生 300 多起重大安全事件,突显了整个加密货币生态系统的系统性脆弱性。
在洗钱方面,美国财政部金融犯罪执法局(FinCEN)识别出了朝鲜行动中的一个关键节点:总部位于柬埔寨的汇旺集团(Huione Group)。
FinCEN 发现,汇旺集团在 2021 年 8 月至 2025 年 1 月期间至少洗钱了 40 亿美元的非法所得。区块链公司 Elliptic 估计,真实数字可能更接近 110 亿美元。
财政部的调查显示,汇旺集团处理了 3700 万美元直接与 Lazarus 组织相关的资金,其中包括来自 DMM Bitcoin 黑客攻击事件的 3500 万美元。该公司直接与朝鲜侦察总局(Pyongyang 主要的对外情报机构)合作。
使汇旺特别危险的原因在于其完全缺乏合规控制。其三个业务板块——Huione Pay(银行业务)、Huione Guarantee(担保业务)和 Huione Crypto(交易所)——均未发布反洗钱(AML)/ 了解你的客户(KYC)政策。
该公司与柬埔寨执政的洪氏家族(Hun family)有关联,其中包括作为大股东的洪玛奈(Hun Manet)首相的堂兄,这使得国际执法工作变得复杂,直到美国于 2025 年 5 月采取行动切断其进入美国金融系统的渠道。
2025 年盗窃案的规模加速了全球范围内的监管行动。
欧盟快速推进了《加密资产市场法案》(MiCA)的“第二阶段”,现在强制要求在欧元区运营的任何交易所对其第三方软件供应商进行季度审计。Bybit 黑客攻击的供应链攻击矢量促成了这一特定要求。
在美国,焦点已转向强制性的实时储备证明(PoR)要求。其理论是:如果交易所必须在链上实时证明其资产,可疑的资金外流将立即变得可见。
继 Upbit 被黑之后,韩国金融服务委员会于 2025 年 12 月提出了《数字金融安全法》。该法案将强制执行冷存储比例、常规渗透测试,并加强对所有加密货币交易所可疑活动的监控。
Bybit 漏洞迫使中心化交易所在管理安全方式上发生了根本性转变。行业领导者已经确定了 2026 年的几项关键升级:
大多数顶级平台已从传统的智能合约多重签名迁移到多方计算(MPC)技术。与 2025 年被利用的 Safe{Wallet} 设置不同,MPC 将私钥分成碎片,这些碎片永远不会存在于单个位置,使得 UI 欺骗和“冰钓”(Ice Phishing)技术几乎无法执行。
知名的托管交易所现在实施 90-95% 的冷存储比例,将绝大部分用户资金离线保存在硬件安全模块(HSM)中。多重签名钱包需要多个授权方批准大额交易。
2025 年的关键教训是,安全性从区块链延伸到了整个软件栈。交易所必须以审计自身代码同样的严格程度来审计其供应商关系。Bybit 黑客攻击的成功是因为第三方基础设施遭到破坏,而非交易所本身的漏洞。
针对钓鱼攻击和安全密码实践的持续培训已成为强制要求,因为人为错误仍然是导致违规的主要原因。安全专家建议定期进行红蓝对抗演习,以识别安全流程管理中的薄弱环节。
展望未来,后量子密码学(PQC)和量子安全硬件正在成为关键的未来防御手段。冷钱包市场从 2026 年到 2033 年预计 15.2% 的复合年增长率(CAGR)反映了机构对安全演进的信心。
Chainalysis 在其 2025 年报告中的结尾警告应在整个行业引起共鸣:“该国 2025 年创纪录的表现——是在已知攻击减少 74% 的情况下实现的——这表明我们可能只看到了其活动中最显眼的部分。2026 年的挑战将是在受朝鲜关联黑客发起另一次 Bybit 规模的事件之前,检测并防止这些高影响力的行动。”
朝鲜已经证明,在制裁规避和武器资金驱动下,国家支持的黑客可以超越行业防御。67.5 亿美元的累计总额不仅代表被盗的加密货币,还代表了导弹、核计划和政权的生存。
对于加密货币行业来说,2026 年必须是安全转型之年。不是渐进式的改进,而是对资产存储、访问和转移方式的根本性重新架构。Lazarus 组织已经表明,昨天的最佳实践就是今天的漏洞。
赌注从未如此之高。
保障区块链基础设施需要时刻保持警惕和行业领先的安全实践。BlockEden.xyz 提供具有多层安全架构的企业级节点基础设施,帮助开发者和企业在能够抵御不断演变威胁的基础上进行构建。
加密货币洗钱活动在 2025 年激增至 820 亿美元——与五年前的 100 亿美元相比增长了八倍。但真正的重点不在于这个惊人的数字,而在于金融犯罪本身的工业化。专业的洗钱网络现在每天通过基于 Telegram 的精密市场处理 4,400 万美元,朝鲜已将加密货币盗窃武器化以资助其核计划,而支持全球诈骗的基础设施增长速度比合法的加密货币采用速度快了 7,325 倍。业余加密货币罪犯的时代已经结束。我们已经进入了组织化、专业化的区块链犯罪时代。
2025 年圣诞夜,当大多数加密货币世界都在度假时,攻击者向 Trust Wallet 的 Chrome 浏览器扩展程序推送了一个恶意更新。在 48 小时内,850 万美元从 2,520 个钱包中消失。数千名用户的助记词被悄无声息地搜集,并伪装成常规的遥测数据。但这并不是孤立事件——它是已经在加密货币开发生态系统中传播了数周的供应链攻击的顶峰。
Shai-Hulud 活动以《沙丘》(Dune)中的沙虫命名,代表了 2025 年最具侵略性的 npm 供应链攻击。它感染了超过 700 个 npm 软件包,波及 27,000 个 GitHub 仓库,并暴露了 487 个组织中约 14,000 个开发者机密。总损失超过 5800 万美元的被盗加密货币,使其成为加密货币历史上针对开发者损失最惨重的攻击之一。
与典型的需要用户下载恶意软件的病毒不同,供应链攻击污染了开发者已经信任的工具。Shai-Hulud 活动将 npm 武器化,npm 是驱动大多数 JavaScript 开发的包管理器——几乎涵盖了所有的加密钱包、DeFi 前端和 Web3 应用程序。
这次攻击始于 2025 年 9 月的第一波浪潮,导致约 5000 万美元的��加密货币被盗。但正是 11 月的“第二次降临”(The Second Coming)展示了该行动真正的复杂性。11 月 21 日至 23 日期间,攻击者攻破了包括 Zapier、ENS Domains、AsyncAPI、PostHog、Browserbase 和 Postman 在内的主要项目的开发基础设施。
其传播机制优雅而恐怖。当 Shai-Hulud 感染一个合法的 npm 软件包时,它会注入两个恶意文件——setup_bun.js 和 bun_environment.js——由预安装脚本(preinstall script)触发。与安装后才激活的传统恶意软件不同,此有效载荷在安装完成前、甚至在安装失败时也会运行。当开发者意识到出现问题时,他们的凭据已经被窃取。
该蠕虫会识别受害开发者维护的其他软件包,自动注入恶意代码,并将新的受感染版本发布到 npm 注册表中。这种自动传播机制使得恶意软件能够在没有攻击者直接干预的情况下呈指数级扩散。
受感染的 npm 软件包与 Trust Wallet 黑客事件之间的联系揭示了供应链攻击是如何从开发者级联到终端用户的。
Trust Wallet 的调查显示,其开发者的 GitHub 机密在 11 月的 Shai-Hulud 爆发期间泄露。这种泄露让攻击者获得了浏览器扩展程序的源代码,更关键的是,获得了 Chrome 网上应用店(Chrome Web Store)的 API 密钥。凭借这些凭据,攻击者完全绕过了 Trust Wallet 的内部发布流程。
2025 年 12 月 24 日,版本号为 2.68 的 Trust Wallet Chrome 扩展程序出现在 Chrome 网上应用店中——由攻击者发布,而非 Trust Wallet 开发者。恶意代码旨在遍历��扩展程序中存储的所有钱包,并为每个钱包触发助记词请求。无论用户使用密码还是生物识别进行身份验证,他们的助记词都会被悄悄地发送到攻击者控制的服务器,并伪装成合法的分析数据。
被盗资金构成如下:约 300 万美元的比特币、超过 300 万美元的以太坊,以及少量的 Solana 和其他代币。在几天之内,攻击者开始通过中心化交易所洗钱——330 万美元流向 ChangeNOW,34 万美元流向 FixedFloat,44.7 万美元流向 KuCoin。
最令人不安的可能是 Shai-Hulud 恶意软件的“死人开关”(dead man's switch)机制。如果蠕虫无法通过 GitHub 或 npm 进行身份验证——即如果其传播和窃取渠道被切断——它将删除用户家目录中的所有文件。
这种破坏性功能具有多种目的。它惩罚了探测尝试,制造混乱以掩盖攻击者的行踪,并在防御者试图切断命令与控制(C2)基础设施时提供筹码。对于没有进行适当备份的开发者来说,一次失败的清理尝试可能会导致在凭据被盗之外遭受灾难性的数据丢失。
攻击者还表现出了心理上的复杂性。当 Trust Wallet 宣布发生违规事件时,同样的攻击者利用随之而来的恐慌发起了一场网络钓鱼活动,创建了虚假的 Trust Wallet 品牌网站,要求用户输入恢复助记词进行“钱包验证”。一些受害者甚至遭到了二次攻击。
币安(Binance)联合创始人赵长鹏(CZ)暗示,Trust Wallet 的漏洞“极有可能”是由内部人士或事先拥有部署权限的人实施的。Trust Wallet 自身的分析表明,攻击者可能在 2025 年 12 月 8 日之前就已经获得了开发者设备的控制权或获得了部署权限。
安全研究人员指出了一些暗示可能有国家级力量参与的模式。攻击时间选在圣诞夜,遵循了高级持续性威胁(APT)的常见剧本:在安全团队人员不足的节假日进行攻击。Shai-Hulud 活动的技术复杂性、规模以及资金的快速洗白,表明其背后的资源超出了典型的犯罪行动。
Trust Wallet 事件突显了加密货币安全模型中的一个根本性漏洞。浏览器扩展拥有极高的权限——它们可以读取和修改网页,访问本地存储,而在加密钱包的情况下,它们还掌握着价值数百万美元的密钥。
攻击面非常巨大:
这不是加密货币用户第一次遭受浏览器扩展攻击。之前的事件包括针对 VS Code 扩展的 GlassWorm 活动和 FoxyWallet Firefox ��扩展诈骗。但 Trust Wallet 的漏洞是按美元计算规模最大的,并展示了供应链泄露如何放大扩展攻击的影响。
币安(Binance)确认,受影响的 Trust Wallet 用户将通过其用户安全资产基金(SAFU)获得全额补偿。该基金成立于 2018 年交易所被黑事件后,储备了一部分交易费用,专门用于支付安全事件造成的用户损失。
赔付决定树立了一个重要的先例,也提出了一个关于责任分配的有趣问题。Trust Wallet 被攻破并非由于在受影响窗口期打开钱包的用户的直接过错。但根本原因是供应链攻击破坏了开发人员的基础设施,而这反过来又是由 npm 中更广泛的生态系统漏洞造成的。
Trust Wallet 的即时响应包括:使所有发布 API 过期以在两周内阻止新版本发布;向注册商举报恶意的资产窃取域名(导致其迅速被封禁);以及推送干净的 2.69 版本。建议在 12 月 24 日至 26 日期间解锁过扩展的用户立即将资金迁移到新钱包。
Shai-Hulud 活动暴露了远超出 Trust Wallet 范围的系统性漏洞:
显式固定依赖项。 preinstall 脚本漏洞之所以有效,是因为 npm install 可以运行任意代码。将其固定到已知的干净版本可以防止自动更新引入被攻破的软件包。
将秘密视为已泄露。 任何在 2024 年 11 月 21 日至 2025 年 12 月之间拉取过 npm 包的项目都应假设凭据已暴露。这意味着需要撤销并重新生成 npm 令牌、GitHub PATs、SSH 密钥和云提供商凭据。
实施适当的秘密管理。 用于应用商店发布等关键基础设施的 API 密钥绝不应存储在版本控制系统中,即使在私有存储库中也是如此。使用硬件安全模块(HSM)或专用的秘密管理服务。
强制执行抗钓鱼的 MFA。 标准的双因素身份验证可以被复杂的攻击者绕过。像 YubiKeys 这样的硬件密钥为开发人员和 CI/CD 账户提供了更强的保护。
多样化钱包基础设施。 不要将所有资金都放在浏览器扩展中。硬件钱包提供与软件漏洞的隔离——它们可以签署交易,而无需向可能被攻破的浏览器泄露助记词。
假设更新可能是恶意的。 让软件变得便捷的自动更新模型也使其变得脆弱。考虑禁用安全关键型扩展的自动更新并手动验证新版本。
监控钱包活动。 对异常交易进行警报的服务可以提供泄露的早期预警,在攻击者耗尽整个钱包之前限制损失。
加强 npm 生态系统。 npm 注册表是 Web3 开发的关键基础设施,但它缺乏许多可以防止蠕虫式传播的安全功能。强制性的代码签名、可重复构建以及包更新的异常检测可以显著提高攻击者的门槛。
重新思考浏览器扩展安全。 现有的模型——扩展自动更新并拥有广泛的权限——在持有大额资产的安全要求面前,从根本上是不兼容的。沙箱执行环境、带有用户审核的延迟更新以及减少权限可能会有所帮助。
协调事件响应。 Shai-Hulud 活动影响了加密生态系统中的数百个项目。更好的信息共享和协调响应可以在识别出受损软件包时限制损害。
加密货币行业历来将安全工作的重点放在智能合约审计、交易所冷存储和面向用户的防钓鱼保护上。Shai-Hulud 活动证明,最危险的攻击可能来自被攻破的开发人员工具——这些基础设施加密用户从未直接与之交互,但却是他们使用的每个应用程序的基础。
随着 Web3 应用程序变得越来越复杂,它们的依赖图也变得越来越庞大。每个 npm 包、每个 GitHub action、每个 CI/CD 集成都代表了一个潜在的攻击向量。行业对 Shai-Hulud 的反应将决定这会成为一次性的警钟,还是加密基础设施供应链攻击时代的开始。
目前,攻击者的身份尚未确定。大约 280 万美元的 Trust Wallet 被盗资金仍留在攻击者钱包中,其余资金已通过中心化交易所和跨链桥洗白。更广泛的 Shai-Hulud 活动早期窃取的 5,000 多万美元资金已大部分消失在区块链的伪匿名深处。
沙虫(Sandworm)已经深深钻入了加密货币的基石。要将其根除,需要重新思考该行业自诞生之初就习以为常的安全假设。
构建安全的 Web3 应用程序需要强大的基础设施。BlockEden.xyz 提供企业级 RPC 节点和 API,内置监控和异常检测功能,帮助开发人员在影响用户之前识别异常活动。探索我们的 API 市场,在注重安全的基础上进行构建。