北韩骇客成币圈最大梦魇！今年「76% 被盗资金」全落入平壤口袋

区块链情报公司 TRM Labs 最新报告显示，2026 年才刚过 4 个月，北韩骇客组织已在币圈疯狂掠夺约 5.77 亿美元，占全球同期币圈遭骇损失总额的 76% 。

这笔巨款损失主要来自今年 4 月爆发的两大骇客事件：流动性再质押协议 Kelp DAO（损失 2.92 亿美元）以及去中心化衍生品交易所 Drift Protocol（损失 2.85 亿美元）。 TRM 指出，虽然这两起案件仅占今年前 4 个月总攻击「次数」的 3%，却包办了绝大多数的损失金额。

报告揭露，Kelp DAO 攻击案源自恶名昭彰、与拉撒路集团（Lazarus Group）关系密切的「TraderTraitor」；而 Drift 则是由另一个尚未完全曝光的北韩骇客小组所为。

实体渗透与技术操弄：Drift 遭「养套杀」12 分钟内被掏空

TRM 揭露，Drift 攻击并非短期突袭，而是历时数月的精密渗透行动，北韩代理人透过多次线下会面接触 Drift 团队，随后自 3 月 11 日起开始部署攻击准备，包括在 Solana 上建立「持久 nonce 帐户（durable nonce accounts，用于预先签署交易）」，并诱导 Drift 安全委员会的多重签章成员，预先授权交易。

致命一击发生在 4 月 1 日。就在 Drift 将安全委员会权限转移到「5 人中需 2 人同意（2/5 门槛）」、且取消了时间锁（Timelock，交易送出后的缓冲等待时间）短短几天后，骇客在 12 分钟内触发 31 笔预先签名的提款指令，迅速掏空资金。

目前这些被盗资产已被跨链转移至以太坊，至今仍处于休眠状态。

直攻底层基础设施：KelpDAO 沦陷始末

相较于 Drift 的社交工程陷阱，KelpDAO 遭遇的则是技术攻击。骇客看准跨链通讯协议 LayerZero 桥接器中「单一验证者」的架构缺陷，透过入侵 RPC（远端程序呼叫）基础设施，窜改了跨链验证逻辑。

在迫使系统将验证权限转移至受骇客控制的节点后，超过 11.6 万枚 rsETH 被洗劫一空。即便 Arbitrum 官方紧急冻结了部分资产，骇客仍迅速透过跨链流动性协议 THORChain 等基础设施，将多数资金迅速洗白转出。

TRM 数据显示，北韩骇客占全球加密货币失窃总额的比例，正以令人不安的速度攀升：从 2020 年、 2021 年不到 10%，一路攀升至 2022 年的 22%，2023 年的 37%，2024 年的 39%，再到 2025 年的 64%，今年以来更是冲上了 76% 的历史新高。

据 TRM 统计，自 2017 年以来，北韩骇客所窃取的加密货币金额累计已突破 60 亿美元。

报告指出，2025 年加密货币交易所 Bybit 遭骇 14.6 亿美元的世纪大案，是北韩骇客犯案模式的重大转折点。自此之后，这些国家级精英骇客改变了战术，不再「乱枪打鸟」，而是锁定高价值的「大肥羊」，专门攻击跨链桥（Bridges）、多签治理系统等关键基础设施，务求一击必杀。

洗钱手法：长期蛰伏 vs. 地下极速变现

Drift 与 KelpDAO 两案也凸显了北韩洗钱手法的分歧。 Drift 案的骇客极具耐心，资金转入以太坊后就一直按兵不动。专家研判，他们可能打算将资金「雪藏」数月甚至数年，待风头过去后再透过多阶段的复杂操作套现。

反观 KelpDAO 案的骇客则讲求速战速决，迅速透过 THORChain 将资金兑换成比特币，并将后续的洗钱工作交由中国的地下洗钱中介处理。

面对日益猖獗的威胁，TRM 呼吁各大平台应立即提升合规监控，优先防御重点包括：严密监控经由 THORChain 流出的跨链资金、强化跨链桥基础设施的「多跳（Multi-hop）交易追踪」，以及严格筛查 Solana 治理相关的存款路径，尤其是涉及持久 nonce 机制的交易。

此外，TRM 也强烈建议业界积极加入 Beacon Network 等跨平台联防机制，一旦锁定北韩骇客的钱包地址，便能迅速触发跨平台联合警报，彻底斩断骇客的洗钱金流。