“以太坊全都消失了”……史上损失金额最大抢劫案幕后黑手是朝鲜

by Kim Minyoung

Published 24 Mar.2025 06:00(KST)

Updated 25 Mar.2025 07:43(KST)

open/close

“朝鲜黑客已成为虚拟资产行业面临的最大威胁，并正在演变为金正恩政权的主要收入来源。”

正如英国《经济学人》的诊断，近几年朝鲜黑客组织的活动已对国际安全构成严重威胁。他们的攻击已从单纯的信息窃取，演变为瘫痪金融系统、攻击国家基础设施、入侵加密资产交易所等多种形式。通过网络犯罪窃取的资金，被用来帮助朝鲜克服因经济制裁和封锁措施带来的经济困境，并被投入导弹及核武器研发。

ByBit以太坊蒸发……幕后是朝鲜，史上损失金额最大的“抢劫案”

2月21日，ByBit首席执行官（CEO）Ben Zhou度过了看似与往常无异的平凡一天，至少在那件事发生之前是这样。临睡前，他批准了公司账户之间的资金划转。这是该平台在向全球6000多万名用户提供服务过程中，极为日常的一个流程。30分钟后，他接到了ByBit首席财务官（CFO）的电话。“Ben，出问题了。”对方的声音在发抖。“好像遭到黑客入侵了。以太坊全都不见了。”

美国联邦调查局（FBI）随即展开调查，并将涉案金额约15亿美元（2.1742万亿韩元）的这起黑客事件的幕后黑手指向朝鲜。据路透社、《卫报》等报道，FBI认为朝鲜黑客组织“拉撒路”（Lazarus）是此次事件的幕后组织，并表示对方使用了“TraderTraitor”手法。所谓“TraderTraitor”，是指伪装成高薪招聘等方式，引诱受害者下载内嵌恶意代码的虚拟资产应用程序（App）的黑客手法。

英国《独立报》称，此次ByBit事件是史上损失金额最大的“抢劫”案，其规模与朝鲜一年的国防预算（以2023年为准为14.7亿美元）相当。《财富》杂志则指出，“这一金额已经超过了2003年美伊战争前夕，伊拉克独裁者萨达姆·侯赛因从本国中央银行挪用的10亿美元纪录。”

ByBit在事件发生后，截至目前已追踪到4000万美元并冻结相关交易，但仍未能完全阻止部分资产被兑现。英国广播公司（BBC）报道称，“朝鲜黑客组织拉撒路从虚拟资产交易所ByBit窃取的14.6亿美元以太坊中，至少有3亿美元已被套现。”

金正恩将网络战视为与核武相当的重要手段……全球虚拟资产被盗金额六成出自朝鲜之手

“朝鲜可以网罗最顶尖的大脑，并指示他们做任何事情。”这是高丽大学信息安全研究生院教授 Kim Seungju 的说法。自20世纪80年代开始进行计算机科学教育以来，朝鲜以海湾战争为契机，意识到网络技术在军事上的重要性，并在国家层面积极培养相关人才。他们从中挑选出数学天赋突出的学生送往特殊学校，这些学生每年可免除强制劳动。据悉，通过这种方式锤炼出的黑客能力和虚拟资产洗钱技术已达到世界顶尖水平。2019年，在国际大学生程序设计竞赛（ICPC）中，朝鲜队击败哈佛、牛津和斯坦福，获得第8名。前乔治亚理工学院助理教授 Jenny Jun 将朝鲜黑客的特点概括为“大胆”，并分析称：“大多数国家都会谨慎行事，以避免引发外交风波，但朝鲜并不惧怕引人注目。”

自2010年代中期起，朝鲜将网络活动的重心从情报破坏转向网络犯罪。金正恩在掌权初期曾谈及朝鲜对网络战的投入程度，他称“网络战与核武器、导弹一道，是保障人民军无情打击能力的万能利剑”。

推动朝鲜网络犯罪更加猖獗的背景，是新冠肺炎疫情全球大流行。国际经济制裁与疫情叠加，使朝鲜传统的创汇手段大幅萎缩，被迫寻找新的赚钱方式。当时，朝鲜想出的外汇筹措手段便是黑客攻击。根据2023年联合国专家小组（UN Panel of Experts，UNPE）报告，朝鲜外汇收入的一半来自网络盗窃。朝鲜通过网络盗窃获得的收益，已超过其对华出口额的3倍。朝鲜从事网络犯罪的人力规模也从2022年的6800人，增加到2023年的8400人。前FBI分析员 Nick Carlson 用一句话概括黑客在朝鲜经济中的重要性：“过去需要数百万劳动者完成的工作，如今由几十名黑客就能替代。”

尽管外界多次指出这些事件的幕后是朝鲜，但朝鲜始终装作不知情，同时不断扩大对虚拟资产的窃取规模。根据区块链分析公司Chainalysis的数据，仅在2023年，朝鲜黑客就窃取了6.61亿美元，而在2024年，盗取金额增至13.4亿美元，几乎翻了一番，占全球虚拟资产被盗总额的60%。

朝鲜也是全球持有比特币数量仅次于美国和英国的国家之一。根据全球最大虚拟资产交易所币安运营的“Binance News”以及虚拟资产数据提供商 Arkham Intelligence 的估算，朝鲜黑客组织拉撒路目前持有1万3562枚比特币（BTC），按市价折合约11.4亿美元（约1.65万亿韩元）。这一规模在全球范围内仅次于持有19万8109枚BTC的美国和持有6万1245枚BTC的英国，位居第三。

窃取以太坊的黑客组织，瞄准韩国半导体、防务及制造业

国际社会已将朝鲜的网络黑客行为视为严重威胁。为此，多国及安全机构正集思广益、加强应对措施。美国将与朝鲜有关联的虚拟资产地址纳入制裁名单，并与金融机构合作强化反洗钱措施；韩国和日本也在与虚拟资产交易所携手，构建阻断与朝鲜相关交易的系统。

随着监控网络加强，朝鲜迅速转向新手法以逃避打击。尤其是监管较为宽松的印度和印度尼西亚交易所，被视为朝鲜的新目标。综合多家外媒报道，这些黑客利用人工智能（AI）用多种语言精细制作钓鱼邮件，并通过AI让钓鱼邮件看上去更加“逼真”，再进行大规模散发；同时，他们还应聘进入采用远程或在家办公模式的海外企业，与黑客组织里应外合。《南华早报》（SCMP）近日报道称：“朝鲜黑客被认为参与虚拟资产相关网络犯罪已超过10年，培养出一支对虚拟资产知识十分熟悉的人才库”，“最近他们开始使用生成式AI来强化攻击。”

随着朝鲜网络攻击愈演愈烈，韩国也已难言安全。Google威胁情报小组副首席分析师 Luke McNamara 于本月19日警告称：“近期，我们判断与朝鲜有关联的APT 45和拉撒路组织，正在以韩国国内制造业、汽车产业、防务企业以及半导体行业为主要攻击目标。”这意味着，朝鲜黑客组织有可能渗透韩国企业内部系统，窃取国家核心技术机密，并以对外泄露为要挟，索要比特币等加密资产。