北韓駭客滲透逾 40 個 DeFi 協議，竊取資金達 70 億美元

一名網路安全分析師透露，北韓 IT 人員在過去七年中已成功滲透了 40 多個去中心化金融（DeFi）協議，其潛伏行為最早可追溯至 2020 年的「DeFi 之夏」。這些行動被認為與拉撒路集團（Lazarus Group）等國家支持的駭客組織有關。據估計，該組織自 2017 年以來已竊取 70 億美元資金。

MetaMask 開發人員兼安全研究員泰勒·莫納漢（Taylor Monahan）週日在社群媒體發帖稱：「許多北韓 IT 工作者構建了你們熟知並喜愛的協議，一直可以追溯到 DeFi 之夏。」莫納漢補充說，一些簡歷上列出的「七年區塊鏈開發經驗」並非謊言。

這些披露將長期的滲透策略與加密貨幣行業的一些最大規模竊案聯繫起來。根據 R3ACH Network 分析師的說法，拉撒路集團與多起重大漏洞攻擊有關，包括 2022 年價值 6.25 億美元的 Ronin Bridge 攻擊事件，以及近期基於 Solana 的 Drift Protocol 遭到的 2.8 億美元攻擊。這一持續的行動凸顯了整個 DeFi 生態系統面臨的持久且不斷演變的威脅向量。

這種長期滲透對加密行業構成了重大運營安全風險，迫使協議方重新評估其招聘和交易對手驗證流程。使用精密的非本國中介機構意味著，簡單的背景調查已不足以挫敗可能已策劃數月甚至數年的攻擊。

滲透戰術不斷演變

近期針對 Drift Protocol 的 2.8 億美元攻擊揭示了這些國家背景組織所使用的不斷演變的方法。在事後分析中，Drift 團隊表示，他們有「中高程度的信心」認為攻擊是由北韓組織實施的。然而，協議開發人員注意到，他們親自會面的人員並非北韓籍人士。

相反，攻擊者使用了「第三方中介」，這些中介擁有「完整構建的身分，包括工作經歷、公開憑證和職業網絡」。

Titan Exchange 創始人蒂姆·阿赫爾（Tim Ahhl）證實了這一策略。他講述了之前面試一名候選人的經歷，該候選人後來被確認為拉撒路集團的特工。阿赫爾說：「我們面試了一個人，結果發現是拉撒路特工。」他指出，該候選人「進行了視訊通話，且資質極高」，但拒絕了線下面試。美國外國資產控制辦公室（OFAC）維護著一份制裁名單供加密企業篩選，但這些演變的社交工程戰術使合規工作變得複雜。

評估威脅

區塊鏈分析師 ZachXBT 告誡不要將所有與北韓相關的網路威脅混為一談。他解釋說，拉撒路集團是「所有北韓政府支持的網路行為體」的統稱，但其攻擊的複雜程度各不相同。

ZachXBT 表示，通過招聘職位、LinkedIn 或電子郵件發起的威脅是「基礎且絕非精密的」，他補充說，其主要優勢在於「堅持不懈」。他認為，在 2026 年還落入此類圈套表明存在一定程度的疏忽。而像 Drift Protocol 那樣更精密的攻擊，則涉及數月的刻意準備和社交工程，代表了更為危險的威脅。

這些組織的持續成功凸顯了 DeFi 領域的關鍵漏洞，即匿名特質可能被利用。對於項目方，特別是那些擁有匿名團隊的項目，該報告是一個嚴峻的提醒，即需要強大的運營安全、徹底的貢獻者審查以及對開發和協議管理的零信任方法。

本文僅供參考，不構成投資建議。