朝鲜黑客渗透逾 40 个 DeFi 协议，窃取资金达 70 亿美元

一名网络安全分析师透露，朝鲜 IT 人员在过去七年中已成功渗透了 40 多个去中心化金融（DeFi）协议，其潜伏行为最早可追溯至 2020 年的“DeFi 之夏”。这些行动被认为与拉撒路集团（Lazarus Group）等国家支持的黑客组织有关。据估计，该组织自 2017 年以来已窃取 70 亿美元资金。

MetaMask 开发人员兼安全研究员泰勒·莫纳汉（Taylor Monahan）周日在社交媒体发帖称：“许多朝鲜 IT 工作者构建了你们熟知并喜爱的协议，一直可以追溯到 DeFi 之夏。”莫纳汉补充说，一些简历上列出的“七年区块链开发经验”并非谎言。

这些披露将长期的渗透策略与加密货币行业的一些最大规模窃案联系起来。根据 R3ACH Network 分析师的说法，拉撒路集团与多起重大漏洞攻击有关，包括 2022 年价值 6.25 亿美元的 Ronin Bridge 攻击事件，以及近期基于 Solana 的 Drift Protocol 遭到的 2.8 亿美元攻击。这一持续的行动凸显了整个 DeFi 生态系统面临的持久且不断演变的威胁向量。

这种长期渗透对加密行业构成了重大运营安全风险，迫使协议方重新评估其招聘和交易对手验证流程。使用精密的非本国中介机构意味着，简单的背景调查已不足以挫败可能已策划数月甚至数年的攻击。

渗透战术不断演变

近期针对 Drift Protocol 的 2.8 亿美元攻击揭示了这些国家背景组织所使用的不断演变的方法。在事后分析中，Drift 团队表示，他们有“中高程度的信心”认为攻击是由朝鲜组织实施的。然而，协议开发人员注意到，他们亲自会面的人员并非朝鲜籍人士。

相反，攻击者使用了“第三方中介”，这些中介拥有“完整构建的身份，包括工作经历、公开凭证和职业网络”。

Titan Exchange 创始人蒂姆·阿赫尔（Tim Ahhl）证实了这一策略。他讲述了之前面试一名候选人的经历，该候选人后来被确认为拉撒路集团的特工。阿赫尔说：“我们面试了一个人，结果发现是拉撒路特工。”他指出，该候选人“进行了视频通话，且资质极高”，但拒绝了线下面试。美国外国资产控制办公室（OFAC）维护着一份制裁名单供加密企业筛选，但这些演变的社交工程战术使合规工作变得复杂。

评估威胁

区块链分析师 ZachXBT 告诫不要将所有与朝鲜相关的网络威胁混为一谈。他解释说，拉撒路集团是“所有朝鲜政府支持的网络行为体”的统称，但其攻击的复杂程度各不相同。

ZachXBT 表示，通过招聘职位、LinkedIn 或电子邮件发起的威胁是“基础且绝非精密的”，他补充说，其主要优势在于“坚持不懈”。他认为，在 2026 年还落入此类圈套表明存在一定程度的疏忽。而像 Drift Protocol 那样更精密的攻击，则涉及数月的刻意准备和社交工程，代表了更为危险的威胁。

这些组织的持续成功凸显了 DeFi 领域的关键漏洞，即匿名特质可能被利用。对于项目方，特别是那些拥有匿名团队的项目，该报告是一个严峻的提醒，即需要强大的运营安全、彻底的贡献者审查以及对开发和协议管理的零信任方法。

本文仅供参考，不构成投资建议。