北韓擴大DPRK加密貨幣竊取行動，2025年創紀錄竊取了20.2億美元

隨著區塊鏈採用率上升和數位資產價格攀升，北韓加密貨幣竊盜案件急劇增加，重塑了中心化服務、DeFi 和個人錢包的全球風險格局。

2025 年加密貨幣竊盜案轉變，損失超過 34 億美元

根據 Chainalysis 的最新報告，2025 年 1 月至 12 月初期間，加密貨幣產業遭竊超過 34 億美元，其中僅 2 月份的 Bybit 漏洞事件就造成 15 億美元損失。然而，在這個頭條數字背後，加密貨幣犯罪的結構在短短三年內發生了顯著變化。

此外,個人錢包遭入侵在整體竊盜案中的占比急劇上升。該比例從 2022 年占被竊價值的 7.3% 上升到 2024 年的 44%。2025 年,如果 Bybit 漏洞事件沒有嚴重扭曲數據,個人錢包遭入侵將占總損失的 37%。

中心化服務儘管擁有雄厚資源和專業安全團隊，仍持續遭受因私鑰外洩導致的日益嚴重損失。雖然此類事件發生頻率不高，但仍具毀滅性。2025 年第一季，這類事件占所有損失的 88%，凸顯了單點故障造成的系統性風險。

儘管如此，高竊盜量的持續存在顯示，儘管某些領域的防護措施有所改善，攻擊者仍能利用多個載體和平台的弱點。

大規模異常駭客事件主導加密貨幣竊盜

加密貨幣竊盜案一直偏向少數大規模漏洞事件，但 2025 年創下新的極端情況。根據竊盜發生時的美元價值，最大駭客事件與中位數事件之間的比率首次超過 1,000 倍。

因此，2025 年前三大駭客事件占所有服務損失的 69%。雖然事件數量和中位數損失往往隨資產價格波動，但個別異常事件的規模上升速度更快。這種集中風險意味著單一漏洞事件現在就能重塑整個產業的年度損失統計數據。

北韓主導全球加密貨幣竊盜格局

朝鮮民主主義人民共和國（DPRK）仍是數位資產犯罪中最具影響力的國家級行為者。2025 年，北韓駭客竊取了至少價值 20.2 億美元的加密貨幣，較 2024 年增加了 6.81 億美元，年增率達 51%。

這些行動使 2025 年成為北韓相關竊盜案按價值計算史上最嚴重的一年。此外，北韓攻擊占所有服務入侵事件的創紀錄 76%，將平壤相關行為者竊取的累計總額下限推升至 67.5 億美元。值得注意的是，儘管經評估確認事件數量大幅減少，仍達成這一創紀錄的數額。

北韓操作者越來越多地利用其核心手段之一：將 IT 工作者安插到交易所、託管機構和 Web3 公司內部。

一旦進入內部，這些工作者可以培養特權存取權限，便利橫向移動，最終策劃大規模竊盜。2025 年 2 月的 Bybit 攻擊可能放大了這種滲透模式的影響。

然而，北韓相關組織也調整了其社交工程策略。他們現在經常冒充知名 Web3 和 AI 公司的招募人員，策劃精心設計的虛假招聘流程，而不僅僅是申請工作。這些流程通常以「技術測試」結束，誘騙目標交出憑證、原始碼，或其當前雇主的 VPN 和 SSO 存取權限。

在高層級別，類似的社交工程活動以所謂戰略投資者或收購方的虛假接觸為特色。

推介會議和偽盡職調查流程被用來探查敏感系統細節，並繪製通往高價值基礎設施的存取路徑。這種演變直接建立在早期的 IT 工作者詐騙計劃之上，突顯了對戰略重要性 AI 和區塊鏈企業更緊密的關注。

在 2022 年至 2025 年期間，北韓相關駭客事件始終占據最高價值區間，而非國家級行為者在事件規模上呈現較正常的分布。這種模式顯示，當北韓發動攻擊時，它偏好大型中心化服務，旨在達到最大的財務和政治影響。

2025 年的一個顯著特點是，這個創紀錄的總額是在已知行動數量遠少的情況下達成的。

龐大的 Bybit 漏洞事件似乎讓北韓相關組織得以執行少量極具利潤的攻擊，而非大量中等規模的入侵事件。

北韓加密貨幣洗錢模式的獨特性

2025 年初前所未有的被竊資產流入，為觀察平壤相關行為者如何大規模轉移資金提供了異常清晰的視角。他們的加密貨幣洗錢模式與其他犯罪組織顯著不同，且持續演變。

北韓的資金流出顯示出獨特的分段結構。略高於 60% 的資金量以低於 50 萬美元的轉帳進行，而其他被竊資金行為者則將超過 60% 的鏈上資金流以 100 萬美元至 1,000 萬美元以上的批次發送。

儘管通常竊取更大的總額，北韓組織會將款項拆分為較小的部分，顯示他們刻意試圖透過更複雜的結構來逃避偵測。

此外，北韓行為者始終偏好特定的洗錢接觸點。

他們嚴重依賴中文資金轉移和擔保服務，通常透過鬆散連結的專業洗錢網絡運作，這些網絡的合規標準可能較弱。他們還廣泛使用跨鏈橋接和混幣服務，以及如 Huione 等專門提供者，以增加混淆和司法管轄複雜性。

相比之下，許多其他犯罪組織偏好借貸協議、無 KYC 交易所、P2P 平台和去中心化交易所以獲取流動性和匿名性。北韓實體在 DeFi 這些領域的整合有限，凸顯其限制和目標與典型金融動機網路犯罪分子不同。

這些偏好顯示北韓網絡與亞太地區的非法操作者緊密連結，特別是在中國的管道，這些管道提供了通往全球金融系統的間接途徑。這與平壤更廣泛使用中國中介規避制裁和將價值轉移到境外的歷史相符。

北韓加密貨幣竊盜後的 45 天洗錢週期

對 2022 年至 2025 年北韓相關竊盜案的鏈上分析顯示，存在一個相對穩定、持續約 45 天的多波洗錢週期。雖然並非所有行動都遵循這個時間表，但當被竊資金被積極轉移時，這種模式會重複出現。

第一波，從第 0 天到第 5 天，專注於立即分層。DeFi 協議作為初始進入點，出現被竊資金流的密集高峰，而混幣服務則記錄大量跳增以建立第一層混淆。這一連串的移動旨在將資金推離容易識別的來源地址。

第二波，涵蓋第 6 天到第 10 天，標誌著整合進入更廣泛生態系統的開始。KYC 控制有限的交易所、某些中心化平台和二級混幣器開始接收資金流，通常透過跨鏈橋接促成，使交易路徑碎片化且複雜化。這個階段至關重要，因為資金轉向潛在的出金管道。

第三波，從第 20 天到第 45 天，呈現整合的長尾。無 KYC 交易所、即時兌換服務和中文洗錢服務成為主要終點。中心化交易所也越來越多地接收存款，反映出將非法收益與合法交易流混合的努力，通常透過監管較少司法管轄區的操作者進行。

這個廣泛的 45 天時間窗口為執法和合規團隊提供了寶貴情報，以即時中斷資金流。然而，分析師注意到重要的盲點：私鑰轉移、某些 OTC 加密貨幣兌換法幣交易，或完全的鏈下安排可能仍然不可見，除非配合額外情報。

個人錢包入侵數量激增

除了高調的服務漏洞事件外，針對個人的攻擊也急劇升級。下限估計顯示，個人錢包入侵約占 2025 年被竊總價值的 20%，較 2024 年的 44% 有所下降，但仍反映大規模損害。

事件數量從 2022 年的 54,000 起幾乎增加了兩倍，達到 2025 年的 158,000 起。同期，獨特受害者數量從大約 40,000 人增加了一倍，達到至少 80,000 人。這些增長可能反映了自我託管資產的更廣泛用戶採用。例如，Solana 是擁有最活躍個人錢包的鏈之一，記錄了約 26,500 名受影響用戶，遠多於其他網絡。

然而，個人損失的總美元價值從 2024 年的 15 億美元降低到 2025 年的 7.13 億美元。這顯示攻擊者將努力分散到更多受害者身上，同時每個帳戶提取較小金額，可能是為了降低偵測風險並利用較不成熟的用戶。

網絡層級的犯罪指標揭示了哪些鏈目前呈現最大的用戶風險。2025 年，以每 10 萬個錢包的竊盜量衡量時，Ethereum 和 Tron 顯示最高的犯罪率。Ethereum 的龐大規模結合了高事件數量和提升的每錢包風險，而 Tron 儘管活躍基礎較小，卻顯示相對較高的竊盜率。相比之下，Base 和 Solana 即使用戶社群規模可觀，卻顯示較低的比率。

這些差異顯示個人錢包入侵在生態系統中分布不均。諸如用戶人口統計、主導應用類型、本地犯罪基礎設施和教育水平等因素可能影響詐騙者和惡意軟體操作者集中精力的地方。

DeFi 駭客事件與總鎖定價值趨勢分歧

去中心化金融領域在市場成長與安全結果之間呈現顯著分歧。2020 年至 2025 年的數據確認了 DeFi 總鎖定價值（TVL）與駭客相關損失之間關係的三個明確階段。

第一階段，從 2020 年到 2021 年，TVL 和損失同步上升，因為早期的 DeFi 熱潮吸引了資本和成熟的攻擊者。第二階段，涵蓋 2022 年至 2023 年，隨著市場降溫，TVL 和損失都出現回落。然而，第三階段，跨越 2024 年和 2025 年，標誌著結構性斷裂：TVL 已從 2023 年低點恢復，但駭客數量仍相對受到抑制。

這種分歧意味著 DeFi 安全改進開始產生可衡量的效果。此外，個人錢包攻擊和中心化交易所駭客事件同時上升，暗示目標替代，威脅行為者將資源轉向被認為更容易入侵的領域。

案例研究：Venus Protocol 突顯防禦進展

2025 年 9 月的 Venus Protocol 事件凸顯了分層防禦如何有意義地改變結果。攻擊者使用被入侵的 Zoom 客戶端獲得立足點，並操控用戶授予對持有 1,300 萬美元資產帳戶的委託控制權。

在早期的 DeFi 條件下，此類存取權限可能導致不可逆轉的損失。然而，Venus 僅在一個月前就整合了安全監控平台。該平台在攻擊前約 18 小時標記了可疑活動，並在提交惡意交易時發出另一個警報。

在 20 分鐘內，Venus 暫停了其協議，停止資金移動。部分功能在約 5 小時後恢復，並在 7 小時內，協議強制清算了攻擊者的錢包。到 12 小時時，所有被竊資金已被追回，正常運作恢復。

進一步地，Venus 治理批准了一項提案，凍結仍在攻擊者控制下的約 300 萬美元資產。對手最終未能獲利，反而招致淨損失，展示了鏈上治理、監控和事件回應框架日益增長的力量。

儘管如此，這個案例不應滋生自滿。它展示了當協議及早投資於監控和演練手冊時的可能性，但許多 DeFi 平台仍缺乏可比的能力或明確的應變計劃。

對 2026 年和未來威脅環境的影響

2025 年的數據描繪了一個高度適應性的北韓生態系統，其中較少的行動仍能實現創紀錄的結果。Bybit 事件結合其他大規模入侵，顯示一次成功的活動如何能在組織專注於洗錢和作業安全的同時，維持延長期間的資金需求。

此外，北韓加密貨幣竊盜相對於其他非法活動的獨特特徵提供了寶貴的偵測機會。他們對特定轉帳金額的偏好、嚴重依賴某些中文網絡，以及特徵性的 45 天洗錢週期，可以幫助交易所、分析公司和監管機構更早標記可疑行為。

隨著北韓加密貨幣駭客繼續使用數位資產為國家優先事項提供資金並規避制裁，產業必須接受這個對手的運作動機與普通金融動機犯罪分子不同。該政權破紀錄的 2025 年表現，以估計減少 74% 的已知攻擊達成，顯示許多行動可能仍未被偵測到。

展望 2026 年，核心挑戰將是在另一次 Bybit 規模的漏洞事件發生之前，識別並中斷這些高影響力的行動。加強中心化場所的控制、強化個人錢包，以及深化與執法部門的合作，對於遏制國家級活動和更廣泛的加密貨幣犯罪浪潮至關重要。

總而言之，2025 年證實，儘管 DeFi 等領域的防禦正在改善，但如北韓等成熟行為者和大規模錢包竊賊仍持續利用結構性弱點，使得協調的全球回應比以往更加迫切。