北韩骇客过「肥年」：2025 年窃盗资金创纪录，洗钱周期约 45 天

针对连年来北韩骇客对加密产业的攻击，Chainalysis 在 2025 年骇客攻击报告中著重分析了北韩骇客的攻击行径。以下为内容详情。

要点：

• 北韩骇客在 2025 年窃取了价值 20.2 亿美元的加密货币，年增 51%，尽管攻击次数减少，但其累计窃盗总额已达 67.5 亿美元。
• 北韩骇客以更少的攻击次数窃取了更多加密货币，经常透过将 IT 工作人员安插进加密服务内部或使用针对高阶主管的复杂冒充策略来实现。
• 北韩骇客明显偏好中文洗钱服务、跨链桥服务和混币协议，重大窃盗事件发生后，其洗钱周期约 45 天。
• 2025 年，个人钱包遭窃事件激增至 15.8 万起，8 万名用户受害，不过被盗总价值（7.13 亿美元）较 2024 年下降。
• 尽管 DeFi 总锁定价值（TVL）有所增加，但 2024 至 2025 年的骇客攻击损失仍保持在较低水平，这表明安全措施的改进正产生显著效果。

2025 年，加密生态再度面临严峻挑战，被窃资金持续攀升。分析表明，加密盗窃模式呈现四大关键特征：北韩骇客仍是主要威胁来源；针对中心化服务的个体攻击愈发严重；个人钱包遭窃事件激增；DeFi 骇客攻击趋势出现意外分化。

整体情况：2025年被盗金额超34亿美元

2025 年 1 月至 12 月初，加密产业被盗金额超过 34 亿美元，其中光是 2 月 Bybit 遭受的攻击就占了 15 亿美元。

数据还揭示了这些盗窃事件的重要变化。个人钱包被窃事件大幅增加，从 2022 年占被盗总价值的 7.3% 上升到 2024 年的 44% 。若不是 Bybit 攻击事件影响巨大，2025 年这一比例或将达到 37% 。

同时，由于针对私钥基础设施和签署流程的复杂攻击，中心化服务正遭受越来越大的损失。尽管这些平台拥有机构资源和专业的安全团队，但仍容易受到能够绕过冷钱包控制的威胁。尽管此类入侵事件并不频繁（如下图所示），但一旦发生，会造成巨额被盗资金，在 2025 年第一季度，此类事件造成的损失占总损失的 88% 。许多攻击者已经开发出利用第三方钱包整合的方法，并诱使签署者授权恶意交易。

尽管加密安全在某些领域可能有所改善，但被盗金额居高不下表明，攻击者仍能够透过多种途径取得成功。

前三大骇客攻击造成的损失占总损失的69% ，极端值达到中位数的1000倍

资金被窃事件历来受极端事件驱动，大多数骇客攻击规模相对较小，但也有少数规模庞大。然而，2025 年的情况出现了恶化：最大规模的骇客攻击与所有事件中位数之间的比率首次突破了 1000 倍的门槛。如今，最大规模攻击中被盗的资金是普通事件中被盗资金的 1000 倍，甚至超过了 2021 年牛市的高峰。这些计算是基于被盗资金在被盗时的美元价值。

这种日益扩大的差距使损失高度集中。 2025 年前三大骇客攻击造成的损失占所有损失的 69%，单一事件对年度总损失的影响异常显著。尽管攻击频率可能波动，且随著资产价格的上涨，中位数损失也会增加，但个别重大漏洞造成的潜在损失仍以更快的速度上升。

尽管已确认的攻击事件有所减少，但北韩仍是主要威胁

尽管攻击频率大幅下降，但北韩仍是对加密安全构成最严重威胁的国家，其在 2025 年窃取的加密货币资金创下新高，至少达 20.2 亿美元（比 2024 年多 6.81 亿美元），年增 51% 。就被盗金额而言，这是北韩加密货币窃盗案有史以来最严重的一年，北韩发动的攻击占所有入侵事件的 76%，创下历史新高。整体而言，北韩窃取加密货币的累计总额，最低估值达 67.5 亿美元。

北韩骇客越来越多地透过将 IT 人员（主要攻击手段之一）安插加密服务内部以获取特权存取权并实施重大攻击。今年创纪录的攻击事件在一定程度上可能反映出，北韩更多地依赖 IT 人员在交易所、托管机构和 Web3 公司中的渗透，这可以加快初始访问和横向移动，从而为大规模盗窃创造条件。

然而，最近与北韩有关联的骇客组织彻底颠覆了这种 IT 工作者模式。他们不再只是申请职位并以员工身份潜入，而是越来越多地冒充知名 Web3 和 AI 公司的招聘人员，精心策划虚假的招聘流程，最终以「技术筛选」为幌子，获取受害者的登录凭证、源代码以及其当前雇主的 VPN 或单点登录（SSO）访问权限。在高阶主管层面，类似的社交工程手段以虚假的战略投资者或收购方的接触形式出现，他们利用推介会议和伪尽职调查来探查敏感的系统资讯以及潜在的高价值基础设施——这种演变直接建立在北韩 IT 工作者欺诈行动的基础之上，并且聚焦于具有战略重要性的 AI 和区块链公司。

正如过去几年所见，北韩持续实施的网路攻击价值远高于其他骇客。如下图所示，从 2022 年至 2025 年，北韩骇客攻击占据最高价值区间，而非北韩骇客攻击在所有窃盗规模中分布较为正常。这种模式进一步表明，当北韩骇客发动攻击时，他们瞄准大型服务，力求造成最大影响。

今年创纪录的损失来自已知事件的大幅减少。这种转变（事件减少但损失大幅增加）反映了 2025 年 2 月 Bybit 大规模骇客攻击事件的影响。

北韩独特的洗钱模式

2025 年初大量被盗资金的涌入，揭示了北韩骇客如何大规模清洗加密货币。他们的模式与其他网路犯罪分子截然不同，并且随著时间的推移而演变。

北韩的洗钱活动呈现出明显的「分档」模式，超 60% 的交易量集中在 50 万美元以下。相较之下，其他骇客在链上转移的资金中，超过 60% 是在 100 万至 1000 万美元以上的区间内分批进行。尽管北韩每次洗钱的金额都高于其他骇客，但他们却将链上转帐分成更小的批次，凸显了洗钱手段的复杂性。

与其他骇客相比，北韩在某些洗钱环节中表现出明显的偏好：

北韩骇客往往倾向于：

• 中文资金转移和担保服务（+ 355% 至 1000% 以上）：这是最鲜明的特点，严重依赖中文担保服务以及由众多可能合规控制较弱的洗钱业者组成的洗钱网络。
• 跨链桥服务（+97%）：高度依赖跨链桥在不同区块链之间转移资产，并试图增加追踪难度。
• 混币服务（+100%）：更多地使用混币服务来试图掩盖资金流动。
• Huione 等专业服务（+356%）：策略性地使用特定服务来辅助其洗钱活动。

其他参与洗钱活动的骇客往往倾向于：

• 借贷协议（-80%）：北韩避免使用这些 DeFi 服务，显示出其与更广泛的 DeFi 生态系统整合有限
• 无 KYC 交易所（-75%）：令人惊讶的是，其他骇客比北韩更多使用无 KYC 交易所
• P2P 交易所（-64%）：北韩对 P2P 平台的兴趣有限
• CEX（-25%）：其他骇客与传统交易所平台的直接互动更多
• DEX（-42%）：其他骇客更倾向于使用 DEX，因其具有流动性高和匿名性强的特点

这些模式表明，北韩的运作受到不同于非国家支持网路犯罪分子的约束和目标的影响。他们大量使用专业的中文洗钱服务和场外（OTC）交易商，这显示北韩骇客与亚太地区的非法行为者紧密联系。

北韩骇客攻击后被盗资金洗钱的时间线

2022-2025 年间归因于北韩的骇客事件后链上活动的分析显示，这些事件与窃取资金在加密生态系统中的流动存在一致模式。在重大窃盗事件之后，窃盗资金遵循一个结构化、多阶段的洗钱路径，这个过程大约持续 45 天：

第一阶段：立即分层（第0-5天）

在骇客攻击发生后的最初几天，观察到一系列活动异常活跃，重点在于立即将资金从被盗取的源头转移出去：

• DeFi 协议的被盗资金流动量增幅最大（+370%），成为主要的切入点。
• 混币服务的交易量也大幅增加（+135-150%），构成了第一层混淆。
• 此阶段代表著紧急的「第一步」行动，旨在与最初的盗窃行为划清界线。

第二阶段：初步整合（第6-10天）

进入第二周后，洗钱策略转向能帮助资金融入更广泛生态系统的服务：

• KYC 限制较少的交易所（+37%）和 CEX（+32%）开始接收资金流动。
• 第二层混币服务（+76%）洗钱活动以较低的强度继续进行
• 跨链桥接（如 XMRt，+141%）有助于分散和掩盖资金在区块链间的流动
• 这一阶段是关键的过渡时期，资金开始流向潜在的退出管道

第三阶段：长尾整合（第20-45天）

最后阶段明显倾向于能够最终兑换成法币或其他资产的服务：

• 无需 KYC 的交易所（+82%）和担保服务（如马铃薯担保，+87%）的使用量显著增长
• 即时交易所（+61%）和中文平台（如汇旺，+45%）成为最终的兑换点
• CEX（+50%）也接收资金，显示存在试图将资金与合法资金混入的复杂尝试
• 监管较少的司法管辖区，例如中文洗钱网络（+33%）和 Grinex（+39%）等平台，完善了这一模式

这种通常为 45 天的洗钱操作窗口为执法和合规团队提供了关键情报。这种模式持续多年，显示北韩骇客面临操作上的限制，这可能与他们获取金融基础设施的管道有限以及需要与特定中间人协调有关。

尽管这些骇客并不总是遵循这一确切的时间线——有些被盗资金会休眠数月或数年——但这种模式代表了他们在积极洗钱时的典型链上行为。此外，必须认识到此分析中可能存在的盲点，因为某些活动（如私钥转移或场外加密货币兑换法币）在没有佐证情报的情况下不会在链上可见。

个人钱包被窃：对个人用户的威胁日益加剧

透过对链上模式的分析，以及受害者和产业伙伴的报告，可以了解个人钱包被窃的严重程度，尽管实际遭窃的数量可能要多得多。最低估计，2025 年个人钱包遭窃导致的价值损失占总损失的 20%，低于 2024 年的 44%，这表明在规模和模式上都发生了变化。 2025 年的窃盗事件总数飙升至 15.8 万起，几乎是 2022 年记录的 5.4 万起的三倍。受害者人数从 2022 年的 4 万人增加到 2025 年的至少 8 万人。这些显著的成长很可能是由于加密货币的更广泛采用。例如，拥有最多活跃个人钱包的区块链之一 Solana，其窃盗事件数量遥遥领先（约 2.65 万名受害者）。

然而，尽管事件和受害者数量增多，但 2025 年从单一受害者处窃取的美元总金额却从 2024 年的峰值 15 亿美元降至 7.13 亿美元。这表明攻击者的目标用户增多，但每个受害者被盗金额减少。

特定网路的受害资料为哪些领域对加密使用者构成最大威胁提供了更多见解。下图展示了针对各网路活跃个人钱包进行调整后的受害数据。以 2025 年每 10 万个钱包的犯罪率来衡量，以太坊和波场的失窃率最高。以太坊庞大的用户规模显示其窃盗率和受害者数都较高，而波场的排名则显示，尽管其活跃钱包数量较少，但窃盗率仍然较高。相较之下，尽管 Base 和 Solana 的用户基数庞大，但其受害率却较低。

这显示个人钱包在加密生态中的安全风险并非均等。即使技术架构相似，不同区块链的受害率也存在差异，这表明除了技术因素之外，用户群体特征、热门应用和犯罪基础设施等因素在决定盗窃率方面也发挥著重要作用。

DeFi骇客攻击：分化模式预示市场转变

DeFi 领域在 2025 年的犯罪数据中呈现出独特的模式，与历史趋势明显背离。

数据显示了三个截然不同的阶段：

• 第一阶段（2020-2021 年）：DeFi TVL 与骇客攻击损失同步成长
• 第二阶段（2022-2023 年）：两项指标同步下降
• 第三阶段（2024-2025 年）：TVL 回升，而骇客损失保持稳定

前两个阶段遵循直觉的模式：面临的风险价值越大，代表可窃取的价值越多，骇客针对高价值协定的攻击力道也越大。正如银行劫匪 Willie Sutton 所说：「因为那里有钱。」

这使得第三阶段的差异更加显著。 DeFi TVL 已从 2023 年的低点显著回升，但骇客攻击造成的损失却并未随之增加。尽管数十亿美元已回流到这些协议，但 DeFi 骇客攻击事件持续保持在较低水平，这代表著一个意义重大的变化。

以下两个因素或许可以解释这种差异：

• 安全性提升：尽管 TVL 不断增长，但骇客攻击率却持续下降，这表明 DeFi 协定可能正在实施比 2020-2021 年期间更有效的安全措施。
• 目标转移：个人钱包盗窃和中心化服务攻击事件的同步增加表明，攻击者的注意力可能正在转移到其他目标。

案例研究：Venus Protocol 的安全应对

2025 年 9 月发生的 Venus 协议事件表明，改进的安全措施正在产生实际的效果。当时，攻击者利用一个被入侵的 Zoom 用户端获取系统存取权限，并诱使一名用户授予其价值 1300 万美元帐户的委托权限，这一情况本可能造成灾难性后果。然而，Venus 恰好在一个月前启用了 Hexagate 的安全监控平台。

该平台在攻击发生前 18 小时就侦测到了可疑活动，并在恶意交易一发生就立即发出了另一个警报。在 20 分钟内，Venus 就暂停了其协议，阻止了任何资金流动。这种协调一致的反应展示了 DeFi 安全性的演进：

• 5 小时内：完成安全检查后部分功能恢复
• 7 小时内：强制清算攻击者的钱包
• 12 小时内：追回全部被窃资金并恢复服务

最值得一提的是，Venus 通过了一项治理提案，冻结了攻击者仍控制的 300 万美元资产；攻击者不仅未能获利，反而损失了资金。

这起事件显示 DeFi 安全基础设施有了实际的改善。主动监测、快速反应能力以及能够果断采取行动的治理机制相结合，使整个生态系统更加灵活和有韧性。尽管攻击仍时有发生，但能够检测、应对甚至逆转攻击的能力，与早期 DeFi 时代成功攻击往往意味著永久性损失的情况相比，已发生了根本性的转变。

对 2026 年及以后的影响

2025 年的数据展现了北韩作为加密产业最大威胁的复杂演变图景。该国发动攻击的次数减少，但破坏性却大幅提升，显示其手段愈发高明且更具耐心。 Bybit 事件对其年度活动模式的影响表明，当北韩成功实施重大窃盗时，它会降低行动节奏，转而专注于洗钱。

对于加密产业而言，这种演变要求加强对高价值目标保持警惕，并提高对北韩特定洗钱模式的识别能力。他们对特定服务类型和转帐金额的持续偏好为检测提供了机会，使其有别于其他犯罪分子，并有助于调查人员识别其链上行为特征。

随著北韩持续利用加密货币盗窃来资助国家优先事项并规避国际制裁，加密产业必须认识到，北韩的运作规律与典型的网路犯罪分子截然不同。北韩在 2025 年创纪录的表现（在已知攻击减少 74% 的情况下），显示当下可能只看到了其活动的最明显部分。 2026 年的挑战在于，如何在北韩再次发动类似 Bybit 规模的攻击之前，侦测并阻止这些行动。