朝鮮黑客過「肥年」:2025 年竊取資金創紀錄,洗錢週期約為 45 天
全球概況與主要數據
根據 Chainalysis 的 2025 年黑客攻擊報告,朝鮮黑客在 2025 年竊取加密貨幣價值 20.2 億美元,較 2024 年增長 51%,儘管攻擊次數下降,但累計被竊金額已達 67.5 億美元。2025 年整體被盜金額超過 34 億美元,其中 Bybit 在 2 月遭受攻擊佔了 15 億美元;個人錢包遭竊事件激增至 15.8 萬起,受害者約 8 萬人,但被竊總額為 7.13 億美元,較 2024 年有所下降。儘管 DeFi 總鎖定價值回升,黑客損失仍維持在較低水平,顯示安全措施的改進初見成效。
朝鮮黑客的攻擊特徵與洗錢模式
朝鮮黑客在 2025 年以較少的攻擊次數竊取更多資產,常透過將 IT 人員安插於交易平台、托管機構與 Web3 公司內部以取得特權訪問,並對高管採取複雜的社會工程策略以推進重大攻擊。此外,他們明顯偏好中文洗錢服務、跨鏈橋與混幣協議,這些要素使洗錢路徑更具複雜性。2025 年的整體洗錢模式分佈顯示朝鮮黑客更依賴專業服務與跨鏈機制;其他黑客則較常使用無 KYC、P2P、CEX、DEX 等方式進行洗錢。
此外,黑客對中心化服務的攻擊依然是主要威脅,且個人錢包被竊的風險正在上升。
洗錢時間線:約 45 天的分階段路徑
對於 2022–2025 年間的朝鮮黑客事件分析顯示,竊得資金通常遵循結構化、多階段的洗錢路徑,整個過程約 45 天完成:
- 第一階段:立即分層(0–5 天),資金迅速從來源地轉移,DeFi 的被盜資金流動量顯著增長,混幣服務交易量上升,與初始竊案劃清界線。
- 第二階段:初步整合(6–10 天),資金進入 KYC 較少的交易平臺與 CEX,第二層混幣服務出現,跨鏈橋協助資金在鏈間分散。
- 第三階段:長尾整合(20–45 天),資金轉向能最終兌換成法幣或其他資產的渠道,如無 KYC 的交易平臺、擔保服務、中文平台及低監管司法管轄區等。
這個通常為 45 天的洗錢窗口為執法與合規機構提供了關鍵情報。雖然有些資金會休眠數月甚至數年,但整體模式在多年內持續出現。
個人錢包與 DeFi 的動態
2025 年個人錢包遭竊事件激增至 15.8 萬起,受害者人數至少 8 萬;然而單個受害者的被盜金額下降,整體佔比約為 20%,低於 2024 年的 44%。受害者分佈顯示 Solana 等區塊鏈的風險較高,顯示個人錢包層面的風險仍然存在。與此同時,DeFi 的攻擊損失並未因 TVL 回升而顯著增加,顯示安全措施的提升與資金回流的影響。
DeFi 攻擊模式出現分化,安全監控與治理機制的提升使得早期大規模攻擊的風險下降。
Venus Protocol 案例與安全演進
2025 年 9 月,Venus Protocol 遭受攻擊,但透過 Hexagate 的安全監控平台與治理提案的協同,在 5 小時內完成安全檢查後部分功能得以恢復;在 7 小時內完成對攻擊者錢包的強制清算;在 12 小時內追回全部被盜資金並恢復服務,並凍結攻擊者控制的 300 萬美元資產,顯示 DeFi 安全基礎設施的顯著改善。
對 2026 年及以後的影響
2025 年的數據顯示,朝鮮仍是加密行業最大的威脅,但其作法逐漸轉變:攻擊次數下降但破壞力提升,且特別在高價值目標的洗錢模式中更具策略性。Bybit 的事件顯示,一旦朝鮮完成重大竊案,往往降低行動節奏,專注於洗錢。行業需提高對高價值目標的警覺,並加強對中文洗錢網絡與跨鏈操作的識別能力。
此外,朝鮮利用加密貨幣資金以規避制裁的行動仍在進行,監管與跨國合作需加強,以提高對其鏈上行為的偵測能力。