朝鲜黑客组织6年内窃取30亿美元加密货币

近期，一份由网络安全机构发布的报告揭示了一个令人震惊的事实：一个与朝鲜有关联的黑客组织在过去6年中成功窃取了高达30亿美元的加密货币。

据报告显示，仅2022年一年，该组织就掠夺了17亿美元的加密资产，这些资金很可能被用于支持朝鲜的各项计划。一家区块链数据分析公司指出，其中约11亿美元是从去中心化金融（DeFi）平台被盗。美国国土安全部在去年9月发布的报告中也强调了该组织对DeFi协议的频繁攻击。

这个黑客组织以资金盗窃闻名。2016年，他们入侵孟加拉国中央银行，盗取8100万美元。2018年，他们又对日本一家加密货币交易所发起攻击，窃走5.3亿美元，并从马来西亚中央银行盗取3.9亿美元。

从2017年开始，朝鲜将加密行业作为网络攻击的主要目标。在此之前，他们曾通过劫持SWIFT网络从金融机构间窃取资金。这种行为引起了国际机构的高度关注，促使金融机构加大了网络安全防御的投入。

2017年，随着加密货币的兴起，朝鲜黑客将目标从传统金融转向这种新兴的数字资产。他们最初瞄准韩国加密市场，随后将影响力扩展到全球范围。

2022年，朝鲜黑客被指控窃取了约17亿美元的加密货币，这个数字相当于朝鲜国内经济规模的约5%，或其军事预算的45%。这一数字几乎是朝鲜2021年出口总额的10倍。

朝鲜黑客在加密行业的作案手法，通常与利用加密混合器、跨链交易和法币场外交易等传统网络犯罪手段相似。然而，由于有国家支持，他们能够将窃取行为扩大到传统网络犯罪团伙无法企及的规模。

据数据追踪，2022年约44%的被盗加密货币与朝鲜黑客行为有关。

朝鲜黑客的攻击目标不仅限于交易所，还包括个人用户、风投公司以及其他技术和协议。所有在加密行业运营的机构和个人都可能成为潜在目标，这些行动为朝鲜政府提供了持续运作和筹集资金的渠道。

加密行业的从业者、交易所运营商和创业者都应该意识到自己可能成为黑客攻击的目标。传统金融机构也应密切关注朝鲜黑客组织的活动。一旦加密货币被窃取并转换成法币，资金将在不同账户间转移以掩盖来源。通常，被盗身份和修改后的照片被用于绕过反洗钱和客户身份验证。

由于朝鲜黑客组织的入侵多始于社会工程和网络钓鱼活动，组织机构应该培训员工监控此类活动，并实施强有力的多因素身份验证，如符合FIDO2标准的无密码认证。

朝鲜将持续窃取加密货币视为主要收入来源，用于资助其军事和武器项目。虽然目前尚不清楚有多少被窃取的加密货币直接用于资助导弹发射，但近年来被窃取的加密货币数量和导弹发射数量都大幅增加。如果没有更严格的法规、网络安全要求和对加密货币公司网络安全的投资，朝鲜几乎肯定会继续以加密货币行业作为支持国家额外收入的来源。

2023年7月，一家美国企业软件公司宣布，一名朝鲜支持的黑客已经进入其网络。研究人员随后发布报告，指出负责此次攻击的团体很可能是一个专注于加密货币的朝鲜黑客组织。截至2023年8月，美国联邦调查局发布通告称，朝鲜黑客组织涉及多起黑客攻击，共窃取1.97亿美元的加密货币。这些资金使得朝鲜政府能够在严格的国际制裁下继续运作，并资助其高达50%的弹道导弹计划成本。

2017年，朝鲜黑客入侵了多家韩国交易所，窃取的加密货币价值约为8270万美元。同年7月，一家交易所用户的个人身份信息遭到泄露后，加密货币用户也成为了攻击目标。

除窃取加密货币外，朝鲜黑客还学会了加密货币挖矿。2017年4月，研究人员发现一种门罗币挖矿软件被安装在黑客组织的入侵中。2018年1月，韩国研究人员宣布，朝鲜的一个组织在2017年夏季入侵一家公司服务器，并用于挖掘了约70枚当时价值约为25000美元的门罗币。

2020年，安全研究人员继续报告了朝鲜黑客针对加密货币行业的新网络攻击。朝鲜黑客组织针对多个国家的加密货币交易所进行攻击，并使用LinkedIn作为最初联系目标的方式。

2021年是朝鲜针对加密货币行业最活跃的一年，他们入侵了至少7家加密货币机构，并窃取了价值4亿美元的加密货币。此外，朝鲜黑客开始瞄准山寨币，包括ERC-20代币，以及NFTs。

2022年1月，研究人员确认，从2017年以来尚有价值1.7亿美元的加密货币待兑现。

2022年，朝鲜黑客组织的显著攻击包括多个跨链桥，总损失超过9亿美元。这些攻击特别针对连接两个区块链的跨链桥，允许用户将一种加密货币从一个区块链发送到另一个包含不同加密货币的区块链。

2022年10月，日本警察厅宣布朝鲜黑客组织针对在日本运营的加密货币行业的公司进行了攻击。虽然没有提供具体细节，但声明指出，一些公司遭到了成功的入侵，并且加密货币被窃取。

2023年1月至8月间，朝鲜黑客组织据称从多个平台窃取了2亿美元。在其中一次攻击中，黑客可能冒充招聘者，专门针对目标公司的员工发送了招聘电子邮件和LinkedIn消息。该公司表示，黑客花了6个月的时间试图获得对其网络的访问权限。

为了防范朝鲜网络攻击针对加密货币用户和公司的攻击行为，专家提出了以下建议：

1. 启用多重身份认证（MFA）：为钱包和交易使用硬件设备，如YubiKey，以增强安全性。

2. 为加密货币交易所启用任何可用的MFA设置，以最大程度保护账户免受未经授权的登录或窃取。

3. 验证已验证的社交媒体账户，检查用户名是否包含特殊字符或数字替换字母。

4. 确保所请求的交易是合法的，验证任何空投或其他免费加密货币或NFT推广活动。

5. 在接收到类似大型平台的空投或其他内容时，始终检查官方来源。

6. 始终检查URL，并在点击链接后观察重定向，确保网站是官方网站而不是钓鱼网站。

针对社交媒体诈骗，还有以下防御提示：

1. 在进行加密货币交易时格外谨慎。加密货币资产没有任何机构保障来减轻"传统"欺诈。

2. 使用硬件钱包。硬件钱包可能比始终连接到互联网的"热钱包"更安全。

3. 仅使用可信的去中心化应用程序（dApps），并验证智能合约地址以确认其真实性和完整性。

4. 双重检查官方网站的网址以避免模仿。一些加密货币窃取钓鱼页面可能依赖于域名拼写错误来欺骗用户。

5. 对于看起来太好以至于难以置信的优惠表示怀疑。加密货币窃取钓鱼页面会以有利的加密货币交易汇率或NFT铸造交互的低廉Gas费来吸引受害者。