鄧通,金色財經
2025年6月11日,據日本共同社報道,日本首相石破茂計劃在6月15日至17日於加拿大舉行的七國集團峯會(G7峯會)上,提出加強對朝鮮竊取加密貨幣等惡意網絡活動的打擊力度。這將是G7峯會首次討論朝鮮竊取加密貨幣問題。 據多位日本政府相關人士透露,此舉旨在通過多國合作加強監管,切斷朝鮮利用網絡攻擊非法獲取加密貨幣資金的渠道,這些資金被認爲用於開發大規模殺傷性武器。
朝鮮黑客都做過哪些驚天大案?盜取了多少加密貨幣?朝鮮爲何擅長黑客攻擊?這些錢都用在哪裏了?
一、朝鮮黑客做過的驚天大案
Top 1 :Bybit,14.6億美元
2025年2月21日,總部位於迪拜的加密貨幣交易所Bybit遭遇了約14.6億美元的加密資產被盜事件。初步報告顯示,攻擊者使用了惡意軟件誘騙交易所批准了將資金轉移至竊賊賬戶的交易,這是迄今爲止規模最大的加密貨幣盜竊案。Elliptic公司分析了多種因素,包括對被盜加密資產洗錢路徑的分析,判斷此次Bybit盜竊案的幕後黑手是朝鮮的Lazarus Group。
Top 2 :Ronin Network,6.2億美元
2022 年 3 月,爲 Axie Infinity 即玩即賺遊戲構建的以太坊側鏈被利用,竊取了價值 6.2 億美元的以太坊和 USDC。Ronin 只能找回被盜資金的一小部分。這次攻擊被歸咎於據稱與朝鮮政府有聯繫的組織 Lazarus Group。
Top 3 :DMM Bitcoin,3.08億美元
2024年5月31日,日本交易所DMM Bitcoin被盜取了4502.9枚比特幣。事件發生時,這些比特幣價值3.08億美元。美國聯邦調查局、國防部和日本警察廳表示,被盜事件是與朝鮮有關的黑客所爲。
Top 4 :KuCoin,2.75億美元
2020年9月,總部位於新加坡的加密貨幣交易所KuCoin價值2.75億美元的加密貨幣被盜,其中包括1.27億美元的ERC20代幣,用於以太坊智能合約。不過,後續通過鏈上追蹤,成功凍結了1.7億美元資產,Tether和Circle等機構也配合對贓款進行了標記,最終迫使黑客返還了部分資金。朝鮮黑客組織Lazarus Group 被指控爲本次盜竊案兇手。
Top 5 :WazirX,2.3 億美元
2024年7月18日,印度加密貨幣交易所 WazirX遭遇 2.3 億美元的損失。有證據表明,這名黑客可能是朝鮮政府支持的 Lazarus Group,該集團已將大部分被盜資產兌換成以太坊。
Top 6 :Atomic Wallet,1億美元
2023年6月,Atomic Wallet服務的用戶被盜走價值超過1億美元的加密貨幣,聯邦調查局隨後證實了與朝鮮黑客組織Lazarus Group有關。
Top 7 :Radiant Capital,5000萬美元
2024年10月16日,借貸協議Radiant Capital被盜約5000萬美元。Radiant Capital 稱,黑客通過 Telegram 發送惡意軟件發動了攻擊,該惡意軟件由一名與朝鮮結盟的黑客冒充前承包商發送,我們高度確信此次攻擊是由朝鮮(DPRK)附屬威脅行爲者所爲。
Top 8 :Stake.com,4100萬美元
2023年9月,在線賭場和博彩平臺 Stake.com 價值4100萬美元的加密貨幣被盜,作案者是 Lazarus Group。
Top 9 :Upbit,4100萬美元
2019年11月,Upbit被盜34.2萬枚以太坊,時值4100萬美元,警方依據朝鮮IP地址分析結果、虛擬資產流向、朝鮮詞彙使用痕跡和與美國聯邦調查局(FBI)合作獲取的證據認爲是朝鮮黑客組織Lazarus和Andariel犯下的罪行。
二、起底朝鮮黑客組織 Lazarus Group
1.Lazarus Group介紹
Lazarus Group 據稱由朝鮮政府運營。雖然人們對該組織知之甚少,但研究人員已將自 2010 年以來發動的多起網絡攻擊歸咎於該組織。據脫北者金國鬆稱:該部隊在朝鮮內部被稱爲“414聯絡處”。
該組織已知最早的攻擊事件被稱爲“特洛伊行動”,發生於2009年至2012年。這是一場網絡間諜活動,利用簡單的分佈式拒絕服務攻擊(DDoS) 技術,針對位於首爾的韓國政府。他們還發動了2011年和2013年的攻擊。儘管尚不確定,但他們也可能是2007年針對韓國的攻擊事件的幕後黑手。該組織最知名的一次攻擊事件是2014年對索尼影業的攻擊。對索尼影業的攻擊使用了更爲複雜的技術,凸顯了該組織隨着時間的推移變得越來越先進。
據報道, 2015 年,Lazarus Group 從厄瓜多爾的奧地利銀行竊取了 1200 萬美元,從越南的Tien Phong 銀行竊取了 100 萬美元。他們還將波蘭和墨西哥的銀行作爲目標。2016 年的銀行搶劫案,包括對孟加拉國銀行的攻擊,成功竊取了 8100 萬美元,這起事件被歸咎於該集團。據報道,2017 年,Lazarus Group 從臺灣遠東國際銀行竊取了 6000 萬美元,儘管實際被盜金額不清楚,但大部分資金已被追回。
Lazarus Group還製造多起案件,在此不再贅述。
2.Lazarus Group如何洗錢
Lazarus Group 的洗錢過程:第一步是將所有被盜的代幣兌換爲“原生”區塊鏈資產,如ETH。這是因爲代幣有發行方,在某些情況下可以“凍結”包含被盜資產的錢包,而ETH或比特幣則沒有中央機構可以凍結。
第二步是對被盜資金進行“分層”,以試圖掩蓋交易路徑。區塊鏈的透明性意味着這些交易路徑可以被追蹤,但這些分層策略會使追蹤過程複雜化,爲洗錢者爭取寶貴的變現時間。分層過程可以採取多種形式,包括:通過大量加密貨幣錢包轉移資金;使用跨鏈橋或交易所將資金轉移到其他區塊鏈;使用DEXs、代幣交換服務或交易所在不同加密資產之間切換;使用“混幣器”,如Tornado Cash或Cryptomixer。
朝鮮的Lazarus Group是現有最“專業”且資源最豐富的加密資產洗錢者,他們不斷調整技術以逃避被盜資產被識別和扣押。
詳情可查看金色財經文章(史上最大盜竊案: Bybit 黑客資金流向追蹤)
3.Lazarus Group成員的“伎倆”
朝鮮黑客組織 Lazarus Group 成員曾冒用虛假身份,在美國新墨西哥州和紐約州設立兩家空殼公司——Blocknovas LLC 與 Softglide LLC,借虛假招聘傳播惡意軟件,專門攻擊加密貨幣開發者。 網絡安全公司 Silent Push 披露,這些公司利用假面試誘導受害者,竊取加密錢包、密碼等敏感信息,已造成多名開發者中招。Silent Push 稱這是罕見的“朝鮮黑客在美註冊合法公司實施網絡攻擊”案例。
三、朝鮮黑客偷了多少錢?
聯合國調查朝鮮規避制裁的專家小組在2024年估計,朝鮮自2017年以來已竊取超過30億美元的加密貨幣。
據Chainalysis報告顯示,2023 年,與朝鮮有關的黑客通過 20 起事件竊取約 6.605 億美元; 2024 年,這一數字在 47 起事件中增加到 13.4 億美元,被盜價值增加了 102.88%。這些數字佔當年被盜總金額的 61%,佔事件總數的 20%。
2024 年,價值 50 至 1 億美元以及 1 億美元以上的攻擊發生頻率遠高於 2023 年,這表明朝鮮在大規模攻擊方面做得越來越好、越來越快。這與前兩年形成鮮明對比,前兩年其每次的利潤往往低於 5000 萬美元。
朝鮮在過去三年中一直對大多數大規模攻擊負有責任。有趣的是,朝鮮黑客攻擊的金額較低,尤其是價值 10,000 美元左右的黑客攻擊密度也不斷增加。
四、錢被用在了哪裏?
朝鮮從未承認是Lazarus Group的幕後黑手,但被認爲是世界上唯一一個利用黑客力量獲取經濟利益的國家。
2023年,聯合國一個監測機構報告稱,網絡盜竊占該國外匯總收入的一半。據信,大部分收益都用於其武器計劃。
在過去十年中,朝鮮已將以經濟利益爲目的的犯罪納入其不斷髮展的進攻性網絡戰略。據報道,這些黑客行動主要由朝鮮的主要對外情報機構-偵察總局(Reconnaissance General Bureau)指揮,所盜資金則用於資助該國核武計劃。
2020年,美國將涉嫌參與Lazarus Group的朝鮮人列入網絡通緝名單。但除非他們離開自己的國家,否則這些人被捕的可能性微乎其微。
五、朝鮮爲何擅長黑客攻擊?
在一個大多數人都沒有接觸互聯網的國家,爲何會培養出這麼多精尖黑客?
2016 年叛逃韓國的平壤前駐倫敦大使太永浩曾指出:金正恩在瑞士留學時,將大部分時間都花在電子遊戲上,但他也從中看到了電腦在現代生活中的重要性。因此,在和弟弟金正哲回國後,啓發了他們的父親。“金正日很快就意識到了這些電腦和網絡的優勢。”
金正日很快設立了專門教授高科技間諜、諜報和戰爭的專門學校。五年後獲得了豐厚的回報:黑客竊取了韓國的絕密軍事計劃,其中包括闡述朝鮮與北方鄰國之間可能爆發的戰爭的文件,以及一項通過暗殺金正恩來“斬首”朝鮮的陰謀。
如今,朝鮮的網絡部隊據信已超過8000人,其中大多數是從學校裏精心挑選出來的數學天才學生。在朝鮮,他們隸屬於一個聽起來無害的“偵察總局”,但在實際行動中,他們的網絡代號包括Lazarus、BeagleBoyz、Hidden Cobra和APT38(“APT”代表“高級持續性威脅”)。
這些學生經過長時間高強度訓練,但他們也可以獲得某些特權——包括免於參加國營勞動計劃、汽車和舒適住房等物質福利,以及難得的出國旅行機會,例如參加國際數學奧林匹克等全球數學競賽。
然而,他們如此高效的行動並非僅僅源於其精湛的技術專長。大多數網絡盜竊行爲也利用了人性的弱點,例如發送“釣魚”郵件,或與員工交朋友,誘騙他們泄露密碼等。
網絡安全公司 Check Point 的多麗特·多爾博士表示:“朝鮮的體制和經濟非常封閉,因此他們創造了一個成功的黑客和洗錢行業,他們並不關心網絡犯罪帶來的負面印象。”
資料來源:金色財經、CoinDesk、The Block、The Telegraph、BBC、Reuters、The Economist、Chainalysis、維基百科
