## 北朝鲜黑客访问数据并刷新记录：2025年加密盗窃达到历史新高

加密行业在2025年持续面临来自北朝鲜的网络攻击威胁。根据链上分析公司调查，北朝鲜黑客今年采取了以少量攻击实现更大打击的战术，创下了史上最大规模的盗窃。这一变化表明，攻击者正更精准地瞄准安全漏洞，入侵手法也变得更加巧妙。

### 史上最大盗窃金额：从数量向质量的转变

2025年1月至12月初，从加密生态系统中被盗总额超过34亿美元，其中以北朝鲜相关的黑客团体为核心。同期被盗的加密资产至少达20.2亿美元，比2024年增长51%。

值得注意的是，尽管攻击次数有所减少，但盗窃金额却大幅增加。这意味着北朝鲜黑客的战术发生了变化。过去他们尝试多次小规模入侵，而现在则集中攻击高价值目标。结果，北朝鲜累计盗窃总额达到67.5亿美元，创下加密史上最大纪录。

仅2025年的前三大盗窃事件就占据了全部的69%。最大单一事件与平均黑客损失金额的差距空前扩大，达到了1000倍。这一极端差距甚至超过了2021年牛市高峰时期。

### 攻击手法的演变：从渗透IT人员到对管理层的诈骗

北朝鲜黑客的攻击方式已不再局限于简单的内部渗透，而是发展到更高阶的社会工程学手段。

传统上，他们会伪装成企业内部的IT人员，渗透并获取特权访问权限。然而，最新的行动显示，这一战术已发生根本性变化。现今的团体假扮成大型Web3企业或AI企业的招聘人员，构建虚假的招聘流程。当受害者进入“技术面试”环节时，黑客会要求登录认证信息、源代码、VPN访问权限、单点登录（SSO）认证。一旦获取这些机密信息，便能打开整个系统的入侵通道。

更危险的是，针对管理层的社会工程攻击也已被报道。黑客假扮虚假的战略投资者或收购企业代理人，通过所谓的尽职调查会议，试图获取系统信息和关键基础设施的细节。

这种不断演变的攻击模式表明，北朝鲜团体不仅是单纯的犯罪集团，更是国家支持的组织，战略性地将目标锁定在重要企业上。

### 洗钱的独特模式：45天周期的秘密

北朝鲜黑客在处理盗得资金时，展现出与其他犯罪团伙完全不同的模式。分析其活动发现，从盗窃到资金最终兑换成法币，整个过程遵循约45天的连续周期。

**初期阶段（盗窃后0～5天）**

在攻击后混乱期，盗得的资金流入DeFi协议的比例激增370%。同时，混币服务的使用也跃升135～150%，形成“第一层”难以追踪的资金流。这一时期，优先目标是迅速隐藏盗窃痕迹。

**中期阶段（第6～10天）**

资金在生态系统中分散，开始流入无需验证的交易平台和中心化交易所（CEX）。这些平台的使用量增加37～32%。跨链桥的活跃转移也变得频繁，使资金追踪变得更加复杂。

**最终阶段（20～45天）**

此阶段，资金流入无需验证的平台、担保服务和中文洗钱网络。据推测，资金在此实现了最终的法币兑换。

北朝鲜团体偏爱的手法包括利用中文资金转移服务和担保机构（利用率增长355～1000%以上），显示其与东亚地下金融网络紧密联系。相较之下，DeFi借贷协议和P2P交易平台的利用率明显较低。

这一模式的持续性表明，北朝鲜在洗钱过程中采取高度组织化的策略，依赖特定中介和监管宽松的地区。

### 个人钱包损失激增：对加密用户的警示

个人层面的加密盗窃在2025年以前所未有的速度增长。盗窃案件达15.8万起，比2022年的5.4万起几乎翻倍。受害者人数也从4万增加到至少8万。

这一增长与加密货币的普及同步，反映出更多普通用户开始持有加密资产。尤其在Solana区块链上，受害者约为2.65万，盗窃案件尤为突出。

有趣的是，案件数量在增加，但每起的平均损失金额却在下降。2024年的总损失为15亿美元，而2025年仅为7.13亿美元。也就是说，攻击者在扩大目标用户群的同时，单个受害者的盗窃金额平均在缩小。

按网络划分的受害率调查显示，以太坊和TRON的盗窃风险最高，按10万钱包计算，两者尤为突出。相反，Base和Solana拥有庞大的用户基础，但受害率相对较低。这表明，盗窃风险不仅取决于用户数量，还受到网络上应用环境、用户属性和犯罪基础设施等多重因素的影响。

### DeFi领域的希望：安全投资的成效

2024年至2025年，DeFi的趋势打破了过去的常识。尽管DeFi锁仓价值（TVL）从最低点大幅回升，黑客损失却保持在稳定的低水平。

历史上，风险资产规模越大，遭受黑客攻击的损失也越多。2020年至2021年曾呈现这一趋势，2022年至2023年的低迷期也有类似的相关性。然而，从2024年到2025年的复苏阶段，这一常识已不再成立。

这一变化强烈表明，DeFi协议在安全方面的努力已开始产生实质性效果。协议团队加强监控体系、引入实时检测系统、建立快速响应机制，有效降低了攻击的发生率。

**案例研究：Venus协议的防御成功**

2025年9月的Venus协议事件，验证了安全系统改进的有效性。攻击者通过侵入Zoom客户端获得系统访问权限，试图让用户授权1,300万美元的委托。

但Venus在事件发生前一个月已部署了安全监控系统。系统在攻击开始前18小时检测到异常，并对恶意交易立即发出警报。由此实现了：

- **20分钟内**：紧急停止协议，阻止资金流出
- **5小时内**：确认安全后部分功能恢复
- **7小时内**：强制清算攻击者持仓
- **12小时内**：追回所有被盗资金，服务全面恢复

更值得关注的是，通过治理，甚至冻结了攻击者仍持有的300万美元资产。最终，攻击者不仅未获利，反而失去了所有资金。

此案例显示，DeFi安全已不再仅是技术措施，而是融合监控、应对和治理的整体生态系统。

### 数据访问威胁的未来与对策

2025年的数据揭示，北朝鲜的威胁在质上已发生变化。攻击次数虽减少，但破坏力增强，手法也变得更具耐心和巧妙。从2月的大型事件对年度模式的影响来看，他们在成功实施大规模盗窃后，曾一度减缓节奏，专注于洗钱。

加密行业面临的挑战多方面。加强对高价值目标的警惕、提升对北朝鲜特有洗钱手法的认知，以及识别45天周期这一特殊模式，尤为重要。这些特征有助于区分不同犯罪团伙，提高检测和应对的精准度。

对于持续利用加密盗窃规避国家制裁的北朝鲜而言，目前的活动仅是冰山一角。2026年及以后，最大挑战在于能否提前应对下一次大规模攻击。