朝鮮黑客組織6年內竊取30億美元加密貨幣

近期，一份由網路安全機構發布的報告揭示了一個令人震驚的事實：一個與朝鮮有關聯的黑客組織在過去6年中成功竊取了高達30億美元的加密貨幣。

據報告顯示，僅2022年一年，該組織就掠奪了17億美元的加密資產，這些資金很可能被用於支持朝鮮的各項計劃。一家區塊鏈數據分析公司指出，其中約11億美元是從去中心化金融（DeFi）平台被盜。美國國土安全部在去年9月發布的報告中也強調了該組織對DeFi協議的頻繁攻擊。

這個黑客組織以資金盜竊聞名。2016年，他們入侵孟加拉國中央銀行，盜取8100萬美元。2018年，他們又對日本一家加密貨幣交易所發起攻擊，竊走5.3億美元，並從馬來西亞中央銀行盜取3.9億美元。

從2017年開始，朝鮮將加密行業作爲網路攻擊的主要目標。在此之前，他們曾通過劫持SWIFT網路從金融機構間竊取資金。這種行爲引起了國際機構的高度關注，促使金融機構加大了網路安全防御的投入。

2017年，隨着加密貨幣的興起，朝鮮黑客將目標從傳統金融轉向這種新興的數字資產。他們最初瞄準韓國加密市場，隨後將影響力擴展到全球範圍。

2022年，朝鮮黑客被指控竊取了約17億美元的加密貨幣，這個數字相當於朝鮮國內經濟規模的約5%，或其軍事預算的45%。這一數字幾乎是朝鮮2021年出口總額的10倍。

朝鮮黑客在加密行業的作案手法，通常與利用加密混合器、跨鏈交易和法幣場外交易等傳統網路犯罪手段相似。然而，由於有國家支持，他們能夠將竊取行爲擴大到傳統網路犯罪團夥無法企及的規模。

據數據追蹤，2022年約44%的被盜加密貨幣與朝鮮黑客行爲有關。

朝鮮黑客的攻擊目標不僅限於交易所，還包括個人用戶、風投公司以及其他技術和協議。所有在加密行業運營的機構和個人都可能成爲潛在目標，這些行動爲朝鮮政府提供了持續運作和籌集資金的渠道。

加密行業的從業者、交易所運營商和創業者都應該意識到自己可能成爲黑客攻擊的目標。傳統金融機構也應密切關注朝鮮黑客組織的活動。一旦加密貨幣被竊取並轉換成法幣，資金將在不同帳戶間轉移以掩蓋來源。通常，被盜身分和修改後的照片被用於繞過反洗錢和客戶身分驗證。

由於朝鮮黑客組織的入侵多始於社會工程和網絡釣魚活動，組織機構應該培訓員工監控此類活動，並實施強有力的多因素身份驗證，如符合FIDO2標準的無密碼認證。

朝鮮將持續竊取加密貨幣視爲主要收入來源，用於資助其軍事和武器項目。雖然目前尚不清楚有多少被竊取的加密貨幣直接用於資助導彈發射，但近年來被竊取的加密貨幣數量和導彈發射數量都大幅增加。如果沒有更嚴格的法規、網路安全要求和對加密貨幣公司網路安全的投資，朝鮮幾乎肯定會繼續以加密貨幣行業作爲支持國家額外收入的來源。

2023年7月，一家美國企業軟件公司宣布，一名朝鮮支持的黑客已經進入其網路。研究人員隨後發布報告，指出負責此次攻擊的團體很可能是一個專注於加密貨幣的朝鮮黑客組織。截至2023年8月，美國聯邦調查局發布通告稱，朝鮮黑客組織涉及多起黑客攻擊，共竊取1.97億美元的加密貨幣。這些資金使得朝鮮政府能夠在嚴格的國際制裁下繼續運作，並資助其高達50%的彈道導彈計劃成本。

2017年，朝鮮黑客入侵了多家韓國交易所，竊取的加密貨幣價值約爲8270萬美元。同年7月，一家交易所用戶的個人身分信息遭到泄露後，加密貨幣用戶也成爲了攻擊目標。

除竊取加密貨幣外，朝鮮黑客還學會了加密貨幣挖礦。2017年4月，研究人員發現一種門羅幣挖礦軟件被安裝在黑客組織的入侵中。2018年1月，韓國研究人員宣布，朝鮮的一個組織在2017年夏季入侵一家公司服務器，並用於挖掘了約70枚當時價值約爲25000美元的門羅幣。

2020年，安全研究人員繼續報告了朝鮮黑客針對加密貨幣行業的新網路攻擊。朝鮮黑客組織針對多個國家的加密貨幣交易所進行攻擊，並使用LinkedIn作爲最初聯繫目標的方式。

2021年是朝鮮針對加密貨幣行業最活躍的一年，他們入侵了至少7家加密貨幣機構，並竊取了價值4億美元的加密貨幣。此外，朝鮮黑客開始瞄準山寨幣，包括ERC-20代幣，以及NFTs。

2022年1月，研究人員確認，從2017年以來尚有價值1.7億美元的加密貨幣待兌現。

2022年，朝鮮黑客組織的顯著攻擊包括多個跨鏈橋，總損失超過9億美元。這些攻擊特別針對連接兩個區塊鏈的跨鏈橋，允許用戶將一種加密貨幣從一個區塊鏈發送到另一個包含不同加密貨幣的區塊鏈。

2022年10月，日本警察廳宣布朝鮮黑客組織針對在日本運營的加密貨幣行業的公司進行了攻擊。雖然沒有提供具體細節，但聲明指出，一些公司遭到了成功的入侵，並且加密貨幣被竊取。

2023年1月至8月間，朝鮮黑客組織據稱從多個平台竊取了2億美元。在其中一次攻擊中，黑客可能冒充招聘者，專門針對目標公司的員工發送了招聘電子郵件和LinkedIn消息。該公司表示，黑客花了6個月的時間試圖獲得對其網路的訪問權限。

爲了防範朝鮮網路攻擊針對加密貨幣用戶和公司的攻擊行爲，專家提出了以下建議：

1. 啓用多重身分認證（MFA）：爲錢包和交易使用硬件設備，如YubiKey，以增強安全性。

2. 爲加密貨幣交易所啓用任何可用的MFA設置，以最大程度保護帳戶免受未經授權的登入或竊取。

3. 驗證已驗證的社交媒體帳戶，檢查用戶名是否包含特殊字符或數字替換字母。

4. 確保所請求的交易是合法的，驗證任何空投或其他免費加密貨幣或NFT推廣活動。

5. 在接收到類似大型平台的空投或其他內容時，始終檢查官方來源。

6. 始終檢查URL，並在點擊連結後觀察重定向，確保網站是官方網站而不是釣魚網站。

針對社交媒體詐騙，還有以下防御提示：

1. 在進行加密貨幣交易時格外謹慎。加密貨幣資產沒有任何機構保障來減輕"傳統"欺詐。

2. 使用硬體錢包。硬體錢包可能比始終連接到互聯網的"熱錢包"更安全。

3. 僅使用可信的去中心化應用程式（dApps），並驗證智能合約地址以確認其真實性和完整性。

4. 雙重檢查官方網站的網址以避免模仿。一些加密貨幣竊取釣魚頁面可能依賴於域名拼寫錯誤來欺騙用戶。

5. 對於看起來太好以至於難以置信的優惠表示懷疑。加密貨幣竊取釣魚頁面會以有利的加密貨幣交易匯率或NFT鑄造交互的低廉Gas費來吸引受害者。