朝鲜网络攻击：2025年盗取加密货币金额创纪录达20亿美元

朝鲜黑客在2025年达到了前所未有的犯罪里程碑，盗取了至少20亿美元的数字资产，依据Chainalysis的全面分析。这一数字较前一年增长了51%，使朝鲜民主主义人民共和国近年来累计战利品达到67.5亿美元。模式显示出战略转变：事件减少但破坏性指数级增加。

犯罪升级：从大规模攻击到精准操作

2025年，网络犯罪格局发生了根本性转变。传统的网络犯罪分子将努力分散在多个低价值目标上，而与朝鲜相关的行动者则集中资源于高影响力目标。根据Chainalysis的数据，朝鲜集团在2025年负责了76%的服务层面违规事件，创下历史最高比例。

这种选择性策略与以往形成鲜明对比。个人钱包的资金被大幅削减，2025年仅占被盗总价值的20%（低于2024年的44%）。尽管针对个人用户的事件数量增加到158,000起，但每次受害者平均被盗金额骤降52%，总计为713万美元。数据表明，朝鲜黑客有意将目标转向企业和中心化平台，以在单次操作中获得巨额利润。

洗钱模式：朝鲜的数字足迹

取证分析揭示了朝鲜黑客在隐藏资金方面的复杂模式，区别于其他网络犯罪团伙。不同于进行大额直接转账的犯罪团伙，朝鲜黑客会将战利品细分成少于50万美元的交易，以减少自动检测的可能性。

Chainalysis识别出一套高度专业化的洗钱基础设施：资金持续通过混合器、加密桥梁和由中文操作的中介渠道流转。这种对区域中介的依赖暗示存在结构性限制和可能的本地中介合作。值得注意的是，他们避免使用DeFi借贷协议和去中心化交易所，这些是其他犯罪分子偏好的工具，显示出对全球金融基础设施的访问受限。

资金的转换和提现通常遵循约45天的周期。这一可预见的周期经历不同阶段：从最初的资金来源掩盖，到最终融入本地经济。Chainalysis国家安全情报主管Andrew Fierman指出，这种一致性为合规团队和执法机构提供了宝贵的拦截机会，可以在资金最终变现之前采取行动。

人工智能：朝鲜新兴的超级犯罪力量

一个令人担忧的发现是人工智能在朝鲜洗钱操作中的新兴作用。Fierman表示：“朝鲜利用人工智能的流畅性和一致性，推动其加密货币盗窃的洗钱过程。”执行如此大规模的盗窃并同时自动化多资产洗钱所需的操作复杂度，暗示着智能系统的介入。

洗钱机制从一开始就整合了混合器、加密桥梁和DeFi协议，自动化多种数字资产之间的转换。“为了实现这种效率，朝鲜需要庞大的洗钱网络，以及可能通过AI实现的优化机制，”Fierman解释道。处理数十亿美元资金同时保持隐秘操作的能力，表明智能自动化在朝鲜战略中占据核心位置。

全球网络犯罪格局的变化

这些发现指向一个日益极化的威胁环境。一方面，传统犯罪分子执行大规模低价值盗窃；另一方面，朝鲜进行少数但破坏性极强的攻击，牢牢占据这些超级规模行动的中心。

这一趋势对全球数字资产安全具有深远影响。在对传统威胁加强监控和防御的同时，朝鲜黑客展现出的技术复杂性、国家资源和人工智能潜力，成为网络战中的新兴前沿。随着2025年逐渐结束，没有迹象表明这些攻击活动会减弱，预计与朝鲜相关的网络犯罪将在未来一段时间内继续成为加密货币生态系统中的主要威胁。