朝鲜黑客都做过哪些惊天大案？盗取了多少加密货币？朝鲜为何擅长黑客攻击？这些钱都用在哪里了？

撰文：邓通，金色财经

2025 年 6 月 11 日，据日本共同社报道，日本首相石破茂计划在 6 月 15 日至 17 日于加拿大举行的七国集团峰会（G7 峰会）上，提出加强对朝鲜窃取加密货币等恶意网络活动的打击力度。这将是 G7 峰会首次讨论朝鲜窃取加密货币问题。 据多位日本政府相关人士透露，此举旨在通过多国合作加强监管，切断朝鲜利用网络攻击非法获取加密货币资金的渠道，这些资金被认为用于开发大规模杀伤性武器。

朝鲜黑客都做过哪些惊天大案？盗取了多少加密货币？朝鲜为何擅长黑客攻击？这些钱都用在哪里了？

一、朝鲜黑客做过的惊天大案

Top 1 ：Bybit，14.6 亿美元

2025 年 2 月 21 日，总部位于迪拜的加密货币交易所 Bybit 遭遇了约 14.6 亿美元的加密资产被盗事件。初步报告显示，攻击者使用了恶意软件诱骗交易所批准了将资金转移至窃贼账户的交易，这是迄今为止规模最大的加密货币盗窃案。Elliptic 公司分析了多种因素，包括对被盗加密资产洗钱路径的分析，判断此次 Bybit 盗窃案的幕后黑手是朝鲜的 Lazarus Group。

Top 2 ：Ronin Network，6.2 亿美元

2022 年 3 月，为 Axie Infinity 即玩即赚游戏构建的以太坊侧链被利用，窃取了价值 6.2 亿美元的以太坊和 USDC。Ronin 只能找回被盗资金的一小部分。这次攻击被归咎于据称与朝鲜政府有联系的组织 Lazarus Group。

Top 3 ：DMM Bitcoin，3.08 亿美元

2024 年 5 月 31 日，日本交易所 DMM Bitcoin 被盗取了 4502.9 枚比特币。事件发生时，这些比特币价值 3.08 亿美元。美国联邦调查局、国防部和日本警察厅表示，被盗事件是与朝鲜有关的黑客所为。

Top 4 ：KuCoin，2.75 亿美元

2020 年 9 月，总部位于新加坡的加密货币交易所 KuCoin 价值 2.75 亿美元的加密货币被盗，其中包括 1.27 亿美元的 ERC20 代币，用于以太坊智能合约。不过，后续通过链上追踪，成功冻结了 1.7 亿美元资产，Tether 和 Circle 等机构也配合对赃款进行了标记，最终迫使黑客返还了部分资金。朝鲜黑客组织 Lazarus Group 被指控为本次盗窃案凶手。

Top 5 ：WazirX，2.3 亿美元

2024 年 7 月 18 日，印度加密货币交易所 WazirX 遭遇 2.3 亿美元的损失。有证据表明，这名黑客可能是朝鲜政府支持的 Lazarus Group，该集团已将大部分被盗资产兑换成以太坊。 

Top 6 ：Atomic Wallet，1 亿美元

2023 年 6 月，Atomic Wallet 服务的用户被盗走价值超过 1 亿美元的加密货币，联邦调查局随后证实了与朝鲜黑客组织 Lazarus Group 有关。

Top 7 ：Radiant Capital，5000 万美元

2024 年 10 月 16 日，借贷协议 Radiant Capital 被盗约 5000 万美元。Radiant Capital 称，黑客通过 Telegram 发送恶意软件发动了攻击，该恶意软件由一名与朝鲜结盟的黑客冒充前承包商发送，我们高度确信此次攻击是由朝鲜（DPRK）附属威胁行为者所为。

Top 8 ：Stake.com，4100 万美元

2023 年 9 月，在线赌场和博彩平台 Stake.com 价值 4100 万美元的加密货币被盗，作案者是 Lazarus Group。

Top 9 ：Upbit，4100 万美元

2019 年 11 月，Upbit 被盗 34.2 万枚以太坊，时值 4100 万美元，警方依据朝鲜 IP 地址分析结果、虚拟资产流向、朝鲜词汇使用痕迹和与美国联邦调查局（FBI）合作获取的证据认为是朝鲜黑客组织 Lazarus 和 Andariel 犯下的罪行。

二、起底朝鲜黑客组织 Lazarus Group

1.Lazarus Group 介绍

Lazarus Group 据称由朝鲜政府运营。虽然人们对该组织知之甚少，但研究人员已将自 2010 年以来发动的多起网络攻击归咎于该组织。据脱北者金国松称：该部队在朝鲜内部被称为「414 联络处」。

该组织已知最早的攻击事件被称为「特洛伊行动」，发生于 2009 年至 2012 年。这是一场网络间谍活动，利用简单的分布式拒绝服务攻击 (DDoS) 技术，针对位于首尔的韩国政府。他们还发动了 2011 年和 2013 年的攻击。尽管尚不确定，但他们也可能是 2007 年针对韩国的攻击事件的幕后黑手。该组织最知名的一次攻击事件是 2014 年对索尼影业的攻击。对索尼影业的攻击使用了更为复杂的技术，凸显了该组织随着时间的推移变得越来越先进。

据报道， 2015 年，Lazarus Group 从厄瓜多尔的奥地利银行窃取了 1200 万美元，从越南的 Tien Phong 银行窃取了 100 万美元。他们还将波兰和墨西哥的银行作为目标。2016 年的银行抢劫案，包括对孟加拉国银行的攻击，成功窃取了 8100 万美元，这起事件被归咎于该集团。据报道，2017 年，Lazarus Group 从台湾远东国际银行窃取了 6000 万美元，尽管实际被盗金额不清楚，但大部分资金已被追回。

Lazarus Group 还制造多起案件，在此不再赘述。

2.Lazarus Group 如何洗钱

Lazarus Group 的洗钱过程：第一步是将所有被盗的代币兑换为「原生」区块链资产，如 ETH。这是因为代币有发行方，在某些情况下可以「冻结」包含被盗资产的钱包，而 ETH 或比特币则没有中央机构可以冻结。

第二步是对被盗资金进行「分层」，以试图掩盖交易路径。区块链的透明性意味着这些交易路径可以被追踪，但这些分层策略会使追踪过程复杂化，为洗钱者争取宝贵的变现时间。分层过程可以采取多种形式，包括：通过大量加密货币钱包转移资金；使用跨链桥或交易所将资金转移到其他区块链；使用 DEXs、代币交换服务或交易所在不同加密资产之间切换；使用「混币器」，如 Tornado Cash 或 Cryptomixer。

朝鲜的 Lazarus Group 是现有最「专业」且资源最丰富的加密资产洗钱者，他们不断调整技术以逃避被盗资产被识别和扣押。

3.Lazarus Group 成员的「伎俩」

朝鲜黑客组织 Lazarus Group 成员曾冒用虚假身份，在美国新墨西哥州和纽约州设立两家空壳公司——Blocknovas LLC 与 Softglide LLC，借虚假招聘传播恶意软件，专门攻击加密货币开发者。 网络安全公司 Silent Push 披露，这些公司利用假面试诱导受害者，窃取加密钱包、密码等敏感信息，已造成多名开发者中招。Silent Push 称这是罕见的「朝鲜黑客在美注册合法公司实施网络攻击」案例。

三、朝鲜黑客偷了多少钱？

联合国调查朝鲜规避制裁的专家小组在 2024 年估计，朝鲜自 2017 年以来已窃取超过 30 亿美元的加密货币。

据 Chainalysis 报告显示，2023 年，与朝鲜有关的黑客通过 20 起事件窃取约 6.605 亿美元； 2024 年，这一数字在 47 起事件中增加到 13.4 亿美元，被盗价值增加了 102.88%。这些数字占当年被盗总金额的 61%，占事件总数的 20%。

2024 年，价值 50 至 1 亿美元以及 1 亿美元以上的攻击发生频率远高于 2023 年，这表明朝鲜在大规模攻击方面做得越来越好、越来越快。这与前两年形成鲜明对比，前两年其每次的利润往往低于 5000 万美元。

朝鲜在过去三年中一直对大多数大规模攻击负有责任。有趣的是，朝鲜黑客攻击的金额较低，尤其是价值 10,000 美元左右的黑客攻击密度也不断增加。

四、钱被用在了哪里？

朝鲜从未承认是 Lazarus Group 的幕后黑手，但被认为是世界上唯一一个利用黑客力量获取经济利益的国家。

2023 年，联合国一个监测机构报告称，网络盗窃占该国外汇总收入的一半。据信，大部分收益都用于其武器计划。

在过去十年中，朝鲜已将以经济利益为目的的犯罪纳入其不断发展的进攻性网络战略。据 CNBC 报道，这些黑客行动主要由朝鲜的主要对外情报机构 - 侦察总局（Reconnaissance General Bureau）指挥，所盗资金则用于资助该国核武计划。

2020 年，美国将涉嫌参与 Lazarus Group 的朝鲜人列入网络通缉名单。但除非他们离开自己的国家，否则这些人被捕的可能性微乎其微。

五、朝鲜为何擅长黑客攻击？

在一个大多数人都没有接触互联网的国家，为何会培养出这么多精尖黑客？

2016 年叛逃韩国的平壤前驻伦敦大使太永浩曾指出：金正恩在瑞士留学时，将大部分时间都花在电子游戏上，但他也从中看到了电脑在现代生活中的重要性。因此，在和弟弟金正哲回国后，启发了他们的父亲。「金正日很快就意识到了这些电脑和网络的优势。」

金正日很快设立了专门教授高科技间谍、谍报和战争的专门学校。五年后获得了丰厚的回报：黑客窃取了韩国的绝密军事计划，其中包括阐述朝鲜与北方邻国之间可能爆发的战争的文件，以及一项通过暗杀金正恩来「斩首」朝鲜的阴谋。

如今，朝鲜的网络部队据信已超过 8000 人，其中大多数是从学校里精心挑选出来的数学天才学生。在朝鲜，他们隶属于一个听起来无害的「侦察总局」，但在实际行动中，他们的网络代号包括 Lazarus、BeagleBoyz、Hidden Cobra 和 APT38（「APT」代表「高级持续性威胁」）。

这些学生经过长时间高强度训练，但他们也可以获得某些特权——包括免于参加国营劳动计划、汽车和舒适住房等物质福利，以及难得的出国旅行机会，例如参加国际数学奥林匹克等全球数学竞赛。

然而，他们如此高效的行动并非仅仅源于其精湛的技术专长。大多数网络盗窃行为也利用了人性的弱点，例如发送「钓鱼」邮件，或与员工交朋友，诱骗他们泄露密码等。

网络安全公司 Check Point 的多丽特·多尔博士表示：「朝鲜的体制和经济非常封闭，因此他们创造了一个成功的黑客和洗钱行业，他们并不关心网络犯罪带来的负面印象。」

资料来源：金色财经、CoinDesk、The Block、The Telegraph、BBC、Reuters、The Economist、Chainalysis、维基百科、CNBC