朝鲜黑客自 2017 年以来盗走了 $6B 加密货币，2026 年损失的 76%

据区块链情报公司 TRM Labs 称，朝鲜黑客已在 2026 年迄今通过 4 月对去中心化金融平台实施的两次精确执行的攻击，窃取了被网络犯罪分子夺走的全部加密货币中近四分之三。两起事件——4 月 1 日 Drift Protocol 价值 2.85 亿美元的漏洞以及 4 月 18 日 Kelp DAO 价值 2.92 亿美元的利用——合计占截至 4 月追踪到的所有加密劫持损失的 76%。总计而言，TRM Labs 估计，自 2017 年以来，朝鲜关联黑客已从加密协议与项目中窃取超过 60 亿美元。

攻击方法与精准性

Drift Protocol 的攻击因其持续的社会工程行动而引人注目。链上筹备工作始于 3 月 11 日，该行动在数月期间包括朝鲜代理人与 Drift 员工之间的线下会面。攻击者利用了名为 durable nonce 的 Solana 功能，该功能允许将预先签名的交易暂时保存并在之后再进行部署。4 月 1 日，约 12 分钟内执行了 31 次提款，将包括 USDC 和 JLP 在内的真实资产耗尽。被盗资金随后迅速转移至以太坊，并自那之后一直处于闲置状态。

Kelp DAO 的攻击则走了不同的技术路线。攻击者入侵了两个内部 RPC 节点，然后对外部节点发起了拒绝服务攻击，迫使桥接的单一验证者依赖被投毒的数据源。这些节点虚假报告称底层资产已在源链上被销毁，但实际上并未发生任何此类行动；约 116,500 rsETH——价值约 2.92 亿美元——被从以太坊桥接合约（Ethereum bridge contract）中抽走。

朝鲜加密盗窃的历史升级

这些数据反映了由国家关联朝鲜行动方主导的加密窃取愈发集中。平壤在全部加密货币黑客攻击损失中的占比已从 2020 年和 2021 年的不足 10% 增长至 2022 年的 22%、2023 年的 37%、2024 年的 39% 以及 2025 年的 64%。截至 4 月的 2026 年占比 76% 是有记录以来最高的持续份额，尽管这两起事件仅占已记录的全部事件数量的 3%。

资金流动与洗钱

在 Kelp DAO 被盗之后，Arbitrum 安全委员会行使紧急权力，冻结了约 7,500 万美元的被盗资金——这些资金曾留存在网络上；这是一种罕见的干预，促使迅速的洗钱应对。随后，约 1.75 亿美元的 ETH 被兑换为比特币，大多通过 THORChain 完成；THORChain 是一种跨链流动性协议，不需要进行了解你的客户（know-your-customer）要求。

THORChain 处理了来自两起事件的大部分收益：2025 年的 Bybit 被入侵（该行业史上最严重的盗窃，涉资超过 14 亿美元的加密货币被盗）以及 2026 年的 Kelp DAO 黑客事件；其将数以亿计的被盗 ETH 转换为比特币，而没有任何运营方愿意冻结或拒绝转账。

攻击复杂度的演进

TRM 分析师指出，该团伙似乎正在磨练其工具。分析师已经开始推测，朝鲜的运营方正在将 AI 工具纳入其侦察与社会工程工作流程；这一发展与 Drift 这类攻击日益增强的精准性相一致——而 Drift 的精准操纵需要数周时间，且针对的是复杂的区块链机制。