文章总结： CertiK报告显示朝鲜黑客在2025年造成约20.6亿美元加密资产损失占全球60%攻击模式从代码漏洞转向供应链渗透和社会工程学。建议行业实施零信任招聘强化员工培训并建立资金安全熔断机制以应对国家级威胁。 综合评分： 85 文章分类： 威胁情报,漏洞分析,恶意软件,社会工程学,安全建设

CertiK《Skynet朝鲜加密威胁报告》：朝鲜黑客造成2025年约60%数字资产失窃，攻击模式转向“线下渗透”

原创

CertiK CertiK

CertiK

2026年5月12日 21:02 美国

在小说阅读器读本章

去阅读

CertiK《Skynet朝鲜加密威胁报告》现已发布。数据显示，自2016年至今，朝鲜黑客组织已累计掠夺高达67.5亿美元的数字资产；仅在2025年，其制造的盗窃案损失就高达20.6亿美元，占全球加密行业总损失的近60%。朝鲜相关黑客组织已逐渐从传统的代码漏洞利用，升级为高度组织化、具备深层供应链渗透与大规模资金洗白能力的国家级攻击体系。

核心数据：系统化攻击与产业化洗钱

朝鲜主导的盗窃金额与全球加密货币盗窃总额对比

报告数据显示，朝鲜黑客的攻击行动呈现出高度精准的“系统化”特征：攻击次数相对较少，但集中瞄准具备高流动性的高价值目标。

• 历史总损失：自2016年至今，与朝鲜相关的黑客组织累计发动263起攻击事件，造成的加密资产损失约达67.5亿美元。
• 2025年断层式破坏力：2025年，朝鲜相关攻击事件数量仅占全球总数的12%，但窃取金额高达20.6亿美元，占全年加密行业总损失的近60%。其中，Bybit事件以15亿美元损失成为加密行业史上最大规模的单笔盗窃案。
• 2026年威胁延续：截至2026年初，已确认归因于朝鲜黑客的加密资产损失约6.2亿美元，约占全球总损失的55%。
• 洗钱效率惊人：在如Bybit等重大案件中，超86%的被盗资金（主要为以太坊）在短短一个月内便通过混币器、跨链桥、去中心化交易所（DEX）及场外交易（OTC）网络完成洗白与转移。

战术演进：从“破解代码”到“攻破人心”与基础设施

《Skynet朝鲜加密威胁报告》深入剖析了近几年的重大安全事件，指出朝鲜黑客的攻击轨迹已经发生了根本性转变：他们不再单纯寻找智能合约的代码漏洞，而是将矛头对准了人性和供应链的薄弱环节。

报告梳理了代表其能力持续演进的三大案件：

• Ronin跨链桥事件（2022年，损失6.25亿美元）：展现了社会工程学的威力，黑客通过领英虚假招聘钓鱼，成功向内部工程师植入间谍软件。
• Bybit交易所事件（2025年，损失15亿美元）：标志着供应链攻击成为典型特征。攻击者并未直接攻击交易所本身，而是入侵了其使用的第三方多签平台（Safe多签钱包）的开发者设备，篡改了受信任的用户界面。
• Drift协议事件（2026年，损失2.85亿美元）：暴露了全新的“物理渗透”（线下渗透）模式。攻击者雇佣第三方中间人，利用长达六个月的时间亲自参加加密行业会议，与协议核心贡献者建立线下人际关系并投入真实资金建立信任，最终通过预言机操纵与治理权接管实施了攻击。

朝鲜黑客战术的变化

潜伏威胁：IT人员渗透与区块链C2设施

除了外部攻击，报告还揭露了朝鲜黑客深入加密生态内部的两大隐蔽手段：

• 真实的内部威胁（IT工作者）：多年来，数千名朝鲜IT从业者利用伪造身份进入DeFi协议及西方科技公司远程任职。他们作为“可信内部员工”潜伏，暗中提供情报支持，甚至在部分案例（如Munchables平台事件）中直接参与盗取所任职组织的资金。
• 滥用区块链作为基础设施：2025年10月，谷歌威胁情报组披露朝鲜黑客组织首次采用“以太隐藏技术（EtherHiding）”。他们将公共区块链作为去中心化命令与控制（C2）基础设施，把恶意攻击载荷储存在智能合约的交易数据中，使得基础设施几乎无法被执法机构强行关闭。

行业防御建议：构建针对国家级黑客的深度防御体系

面对日益升级的攻击模式，CertiK美国政府事务负责人Stefan Muehlbauer警告称：“Drift协议攻击表明朝鲜的攻击方式正在发生根本性变化。等到链上攻击真正发生时，前期渗透工作其实早已完成。单纯依赖技术安全框架已无法有效应对此类威胁。”

CertiK在报告中建议加密行业及相关金融机构重点落实以下防御措施：

• 实施零信任招聘模式：将所有远程自由职业者和新入职员工默认视为高风险人员，在建立长期可核实的物理信任关系前，严禁其接触核心生产代码、私钥及管理后台。强制采用带活体检测的视频面试，并使用专业背景验证服务筛查虚假身份。
• 强化社会工程学防御：定期开展针对虚假招聘、伪装风投、恶意代码库的员工安全培训。禁止在未核实身份的情况下，通过Telegram、Discord等即时通讯工具接收和执行代码文件、会议链接及投资文档。
• 加固供应链与基础设施安全：对第三方服务商（如多签钱包、云服务提供商）实施严格的安全审计，避免过度依赖单一供应商。高价值交易签名及金库资金管理的私钥必须存储在物理隔离的硬件安全模块（HSM）中，任何操作均需经过多人人工物理授权。
• 建立资金安全熔断机制：针对大额提款强制实施24-72小时冷静期，为安全团队预留拦截可疑交易的时间窗口。对所有协议管理和治理操作强制设置时间锁，禁止零时间锁的权限变更。

尽管企业可以通过上述机制建立起内部第一道防线，但在面对国家级黑客的系统性、持续性攻击，单一机构的防御能力往往存在明显局限。企业不仅需要落实内部基础防护措施，还应建立覆盖全生命周期的外部安全支撑体系。

作为全球多地监管及金融机构的战略合作伙伴，CertiK提供覆盖数字资产全链路的安全与合规服务：针对攻击前的风险预防，CertiK提供智能合约代码审计、形式化验证与渗透测试等基础设施安全检测；在项目运行中，Skynet Enterprise企业级系统可实现7×24小时持续风险监测，SkyInsights平台则提供符合欧盟MiCA与DORA、迪拜VARA、美国OFAC等全球监管标准的AML/KYT交易监测与交易追踪能力。此外，针对正在推进合规化进程的机构，CertiK还提供储备金证明（PoR）审计与相关牌照申请支持。只有将内部严密的风控机制与外部顶级的专业支持相结合，数字资产行业才能才能构建抵御国家级网络攻击的深度防御体系。

欢迎大家点击文末的“阅读原文”来阅读完整的《Skynet朝鲜加密威胁报告》，获取更全面的分析、洞察和建议。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CertiK CertiK CertiK《CertiK《Skynet朝鲜加密威胁报告》：朝鲜黑客造成2025年约60%数字资产失窃，攻击模式转向“线下渗透”》