北韓網路間諜不再只是遠端威脅

本月針對去中心化交易所(DEX)Drift 的 2.85 億美元攻擊事件,是一年多來最大的加密貨幣駭客攻擊,上次是交易所 Bybit 損失了 14 億美元。北韓國家支持的駭客被認為是這兩起攻擊的主要嫌疑人。

Drift 在週日的 X 貼文中表示,去年秋天,攻擊者冒充量化交易公司,在一個大型加密貨幣會議上親自接觸 Drift 的協議團隊。

該 DEX 表示:「現在可以理解,這似乎是一種針對性的方式,該組織的成員在接下來的六個月裡,在多個國家的多個主要行業會議上,繼續刻意尋找並接觸特定的 Drift 貢獻者。」

到目前為止,北韓網路間諜一直透過虛擬通話和遠端工作在線上鎖定加密貨幣公司。在會議上親自接觸通常不會引起懷疑,但 Drift 的攻擊事件應該足以讓與會者重新審視在最近活動中建立的聯繫。

北韓將加密貨幣策略擴展到駭客攻擊之外

區塊鏈取證公司 TRM Labs 將這起事件描述為 2026 年(到目前為止)最大的 DeFi 駭客攻擊,也是 Solana 歷史上第二大攻擊事件,僅次於 2022 年 3.26 億美元的 Wormhole 跨鏈橋駭客攻擊。

根據 TRM,最初的接觸可追溯到大約六個月前,但攻擊本身可追溯到三月中旬。攻擊者首先從 Tornado Cash 轉移資金並部署 CarbonVote Token(CVT),同時使用社交工程說服多重簽名簽署者批准授予提升權限的交易。

然後,他們透過鑄造大量供應並誇大交易活動來模擬真實需求,為 CVT 製造可信度。Drift 的預言機接收到信號並將該代幣視為合法資產。

當預先批准的交易於 4 月 1 日執行時,CVT 被接受作為抵押品,提款限額被提高,資金以真實資產(包括 USDC)的形式被提取。

相關:北韓間諜出錯,在假面試中暴露關聯

根據 TRM,後續洗錢的速度和激進程度超過了 Bybit 駭客攻擊中看到的情況。

人們普遍認為,北韓正在使用大規模的加密貨幣盜竊(如 Drift 和 Bybit 攻擊)以及長期策略,包括在科技和加密貨幣公司的遠端職位安插特工以產生穩定收入。聯合國安全理事會表示,這些資金被用於支持該國的武器計劃。

安全研究員 Taylor Monahan 表示,對 DeFi 協議的滲透可以追溯到「DeFi 之夏」,並補充說約有 40 個協議曾與疑似朝鮮民主主義人民共和國特工接觸。

北韓國家媒體週四報導稱,該國測試了一種電磁武器和一枚短程彈道導彈,即配備集束彈藥彈頭的火星-11 導彈。

滲透網路推動穩定的加密貨幣收入

一項單獨的調查揭示了一個與北韓有關的 IT 工作者網路如何透過長期滲透產生數百萬美元。

ZachXBT 分享的匿名來源獲得的數據顯示,該網路冒充開發人員並將自己嵌入加密貨幣和科技公司,每月產生約 100 萬美元,自 11 月以來超過 350 萬美元。

該組織使用偽造的身份獲得工作,透過共享系統轉移付款,然後將資金轉換為法幣,並透過 Payoneer 等平台發送到中國銀行帳戶。

相關:你是自由工作者嗎?北韓間諜可能正在利用你

該行動依賴於基本的基礎設施,包括一個使用共同密碼的共享網站和追蹤收入的內部排行榜。

這些特工使用 VPN 和偽造文件公開申請職位,指向一種嵌入特工以提取穩定收入的長期策略。

隨著滲透策略的蔓延,防禦措施不斷演進

Cointelegraph 在 2025 年由 Heiner García 領導的調查中遇到了類似的計劃,他花了幾個月時間與一名疑似特工保持聯繫。

Cointelegraph 後來參與了 García 對一名自稱「Motoki」的嫌疑人的模擬面試,該嫌疑人聲稱自己是日本人。在未能用其所謂的母語方言介紹自己後,該嫌疑人憤怒地退出了通話。

調查發現,特工透過使用遠端存取實際位於美國等國家的設備來繞過地理限制。他們不使用 VPN,而是直接操作這些機器,使他們的活動看起來像是本地的。

到目前為止,科技獵頭已經意識到,虛擬求職面試另一端的人可能確實是北韓網路間諜。一種廣為流傳的防禦策略是要求嫌疑人侮辱金正恩。到目前為止,這種策略一直有效。

然而,隨著 Drift 被親自接觸以及 García 的調查結果顯示特工找到了繞過地理限制的創造性方法,北韓行為者繼續適應這種貓捉老鼠的動態。

要求面試者稱北韓最高領導人為「肥豬」目前是一種有效的策略,但安全研究人員警告說,這種方法不會永遠有效。

雜誌:幽靈比特幣支票,中國在區塊鏈上追蹤稅收:亞洲快報