据区块链情报公司TRM Labs称,截至2026年,与朝鲜相关的黑客已捕获了76%被网络犯罪分子窃取的加密货币。他们仅通过4月的两次攻击就实现了这一份额,这两次攻击共从去中心化金融(DeFi)平台流出了5.77亿美元,而仅占总记录事件的3%。TRM Labs估计,自2017年以来,该组织已从加密协议中盗取超过60亿美元。
朝鲜在总加密盗窃中的份额每年都在增长。2020年和2021年这一比例不到10%,随后在2022年升至22%,2023年为37%,2024年为39%,2025年为64%。截至2026年4月,76%的比例是有记录以来的最高。
两次攻击,耗尽5.77亿美元
首发攻击于4月1日袭击了漂移协议,从这家位于索拉纳的永续资产交易所中损失了2.85亿美元。据报道,链上准备工作于3月11日开始,朝鲜代理人在此前几个月与Drift员工进行了面对面会谈。TRM Labs分析师形容这种社会工程方法对该组织来说可能是前所未有的。攻击当天,黑客利用了Solana(SOL)中一种称为durable nonce的功能,该功能允许预签名交易被存储并在后续时间执行。大约12分钟内完成了31次提款,提取了包括USDC和JLP在内的资产。被盗资金随后被转移到以太坊(ETH),并一直处于休眠状态。
第二次攻击于4月18日针对Kelp DAO,净损失2.92亿美元。攻击者攻破了两个内部RPC节点,随后对外部节点发起了拒绝服务运动。这迫使桥梁的唯一验证者完全依赖被污染的数据源。这些节点错误报告了源链上的基础资产已被烧毁,实际上并未被烧毁,以太坊桥合约中约有116,500 rsETH被抽空。
在Kelp DAO被盗事件后,Arbitrum安全委员会动用紧急权力冻结了约7500万美元仍存于网络上的被盗资金。随后,约有1.75亿美元的ETH通过THORChain转换成比特币,THORChain是一个无需身份验证的跨链协议。THORChain还处理了2025年Bybit泄露事件的大部分收益,该事件至今仍是有记录以来最大的单一加密盗窃案,金额超过14亿美元。
四月创下黑客纪录
4月还创下了单月黑客事件总数的纪录。DeFi数据公司DefiLlama报告称,4月份产生的单个漏洞利用事件数量创了加密历史上任何一个月,追踪了20多起事件。加密评论员Stacy Muur统计到四月底共发生24次黑客攻击,累计损失超过6亿美元。
另一个显著漏洞攻击了 Hyperbridge,这是一个 Polkadot 原生协议,攻击者提取了约 245 ETH,随后利用伪造的跨链消息绕过 Merkle Mountain Range 验证,导致 Hyperbridge 损失 250 万美元。攻击者铸造了大约10亿个桥接DOT代币并将其出售到市场。四月底,链上分析师Wazz指出以太坊主网出现了疑似新的漏洞,报告称数百个钱包,其中许多已停用七年或更久,被一个地址掏空。
TRM Labs分析师指出,朝鲜操作人员似乎正在不断完善其方法,一些研究人员推测该组织正在将人工智能工具整合进其侦察和社会工程流程中。漂移协议将自己的入侵描述为一次“结构化情报行动”,执行过程约持续六个月。
