朝鲜黑客组织六年来窃取30亿美元加密货币

近期一份网络安全报告揭示，过去6年中，一个与朝鲜有关联的黑客组织共窃取了价值30亿美元的加密货币。

该报告指出，仅2022年一年，这个黑客组织就掠夺了17亿美元的加密资产，很可能用于资助朝鲜的各项计划。另一家区块链数据分析公司表示，其中11亿美元是从去中心化金融(DeFi)平台被盗的。美国国土安全部也在去年9月发布的报告中强调了这个黑客组织对DeFi协议的渗透。

这个黑客组织以资金盗窃见长。2016年，他们入侵孟加拉国中央银行，窃取8100万美元。2018年，又先后攻击日本一家加密货币交易所和马来西亚中央银行，分别盗走5.3亿美元和3.9亿美元。

自2017年起，朝鲜将加密行业作为网络攻击重点目标。在此之前，朝鲜曾劫持国际银行金融电讯协会(SWIFT)网络窃取资金，引起国际社会高度关注。金融机构随后加强了网络安全防御。

2017年加密货币兴起后，朝鲜黑客将目标从传统金融转向这一新兴领域，最初瞄准韩国市场，随后扩展到全球范围。

2022年朝鲜黑客被指控窃取的17亿美元加密货币，相当于朝鲜国内生产总值的5%左右，或其军费开支的45%。这一数字几乎是朝鲜2021年出口额的10倍。

朝鲜黑客在加密领域的作案手法，通常与利用混币器、跨链交易和场外交易的传统网络犯罪相似。但由于有国家支持，其规模远超普通犯罪团伙。数据显示，2022年约44%被盗加密货币与朝鲜黑客有关。

朝鲜黑客的攻击目标不仅包括交易所，还涉及个人用户、风投公司及其他技术和协议。行业内所有机构和个人都可能成为潜在目标。

传统金融机构也应密切关注朝鲜黑客的活动。被盗加密货币转换成法币后，会在不同账户间转移以掩盖来源。通常会利用被盗身份信息和修改后的照片绕过反洗钱和身份验证。任何被攻击者窃取的个人信息都可能被用于注册账户，完成洗钱过程。

由于朝鲜黑客入侵多始于社会工程和网络钓鱼，组织应培训员工识别此类活动，并实施强有力的多因素身份验证，如符合FIDO2标准的无密码认证。

朝鲜将持续窃取加密货币视为主要收入来源，用于资助军事和武器项目。虽然尚不清楚被盗资金直接用于弹道导弹发射的具体数额，但近年来被盗加密货币数量和导弹发射次数均大幅增加。如果没有更严格的法规、网络安全要求和投资，朝鲜很可能继续将加密货币行业作为额外国家收入来源。

2023年7月，一家美国企业软件公司宣布遭到朝鲜黑客入侵。随后有研究人员指出，负责此次攻击的可能是一个专注于加密货币的朝鲜黑客组织。截至2023年8月，美国联邦调查局通报称，朝鲜黑客组织涉及多起攻击，共窃取1.97亿美元加密货币。这些资金使朝鲜政府能在严格制裁下继续运作，并资助高达50%的弹道导弹计划成本。

2017年，朝鲜黑客入侵了韩国多家交易所，窃取约8270万美元加密货币。同年，有报道称韩国一家交易所用户的个人信息遭泄露后，加密货币用户也成为攻击目标。

除窃取外，朝鲜黑客还开始进行加密货币挖矿。2017年4月，研究人员发现一种门罗币挖矿软件安装在朝鲜黑客的入侵中。2018年1月，有研究称朝鲜一个组织入侵某公司服务器用于挖矿，获得约70枚当时价值25000美元的门罗币。

2020年，安全研究人员持续报告朝鲜黑客针对全球加密货币行业的新攻击，并使用LinkedIn作为初步接触目标的方式。

2021年是朝鲜针对加密货币行业最活跃的一年，入侵至少7家机构并窃取4亿美元。此外，朝鲜黑客开始瞄准各类代币和NFT。

2022年1月，研究人员确认自2017年以来尚有1.7亿美元被盗加密货币待兑现。2022年朝鲜黑客的显著攻击包括多个跨链桥，造成巨额损失。

2022年10月，日本警方宣布朝鲜黑客针对日本加密货币公司进行攻击，一些公司遭成功入侵并被窃取资金。

2023年1月至8月间，朝鲜黑客据称从多个平台窃取了2亿美元。在2023年7月的一次攻击中，黑客可能冒充招聘者针对目标公司员工发送邮件和消息，花费6个月时间试图获取网络访问权限。

为防范朝鲜黑客攻击，建议采取以下措施：

• 启用多重身份认证，使用硬件设备增强安全性
• 为交易所账户启用所有可用的多重身份认证设置
• 验证社交媒体账户的真实性
• 谨慎对待任何空投或免费推广活动
• 检查官方来源确认空投等活动的真实性
• 检查URL并观察重定向，确保访问官方网站
• 交易时保持高度警惕，使用硬件钱包
• 仅使用可信的去中心化应用，验证智能合约地址
• 仔细检查官方网站网址避免仿冒
• 对看似过于优惠的条件保持怀疑