loading

朝鮮駭客為何如此擅長竊取加密貨幣?

來源:經濟學人

編譯:AIMan@金色財經

迪拜加密貨幣交易所 Bybit 的老闆 Ben Zhou 回憶說,2 月 21 日這一天原本很普通。睡覺前,他批准了公司帳戶之間的資金轉帳,這是在為全球 6000 多萬用戶提供服務時執行的「典型操作」。半小時後,他接到一通電話。「Ben,出問題了,」他的首席財務官聲音顫抖地說。「我們可能遭到駭客攻擊……所有的以太坊都消失了。」

獨立調查人員和美國 FBI 很快將矛頭指向了一個熟悉的罪魁禍首:朝鮮。來自這個隱士王國的駭客已成為加密產業的最大威脅之一,也是朝鮮政權的重要收入來源,幫助其抵禦國際制裁,控制菁英,並為其導彈和核武計畫提供資金。

根據加密貨幣調查公司 Chainalysis 的數據,2023 年朝鮮駭客共竊取了 6.61 億美元;2024 年,他們的竊取金額翻了一倍,在 47 起案件中共竊取了 13.4 億美元,相當於全球被盜加密貨幣總額的 60% 以上。

Bybit 被盜案顯示駭客的技術與野心不斷提升:在一次駭客攻擊中,朝鮮從該交易所竊取了相當於 15 億美元的資金,這是加密貨幣歷史上最大規模的盜竊案。

朝鮮網路部隊的起源

朝鮮的攻擊是數十年努力的成果。該國第一所計算機科學學校至少可追溯至 1980 年代。波斯灣戰爭讓該政權意識到網路技術對現代戰爭的重要性。2016 年叛逃的朝鮮高級外交官太永浩 (Thae Yong Ho) 表示,有天賦的數學學生會被送入特殊學校,並免於每年的農村義務勞動。朝鮮的網路部隊最初被設想為間諜與破壞工具,但在 2010 年代中期開始專注於網路犯罪。據說金正恩將網路戰稱為「萬能劍」。

加密攻擊與洗錢

竊取加密貨幣涉及兩個主要階段。

第一階段 是入侵目標系統——相當於找到通往銀行金庫的地下通道。釣魚電子郵件可插入惡意程式碼。朝鮮特工會偽裝成招聘人員,誘使軟體開發者在虛假的求職面試中開啟受感染的文件。另一種方式是使用虛假身份在外國公司獲取遠端 IT 工作,這可能是取得帳戶訪問權限的第一步。Chainalysis 的 Andrew Fierman 表示:「他們非常擅長透過社交工程學尋找漏洞。」在 Bybit 案件中,駭客入侵了一名為數字錢包軟體供應商工作的開發人員的電腦。

第二階段 是將被盜的加密貨幣洗白。這些非法資金會被分散至多個數位錢包,與乾淨資金混合,並在不同的加密貨幣之間轉移,這一過程在業內被稱為「混幣」與「跳鏈」。區塊鏈分析公司 Elliptic 的湯姆·羅賓遜 (Tom Robinson) 表示:「他們是我們遇過最老練的加密貨幣洗錢者。」

最後一步 是將被盜資金轉換為可用資金。現在有越來越多的地下服務能夠提供這種幫助,其中許多與有組織犯罪有關。雖然執法機構的攔截與阻撓降低了整體收益,但前 FBI 分析師、現任職於區塊鏈情報公司 TRM Labs 的尼克·卡爾森 (Nick Carlsen) 表示,朝鮮仍能成功獲取其竊取資金的 「80%,甚至 90%」。

朝鮮為何擅長竊取加密貨幣?

朝鮮擁有幾個關鍵優勢。

第一是人才。 這可能聽起來違反常理:該國極度貧困,普通民眾甚至無法使用網際網路或電腦。然而,首爾高麗大學的金承珠 (Kim Seung-joo) 表示:「朝鮮可以選拔最優秀的人才,並指示他們該做什麼。他們不必擔心這些人才會去三星工作。」2019 年的國際大學生程式設計競賽中,一支來自朝鮮大學的隊伍獲得第八名,擊敗了來自劍橋、哈佛、牛津和史丹佛的隊伍。

第二是他們的工作強度。 朝鮮駭客團隊 24 小時不間斷工作,執行攻擊時異常大膽。喬治亞理工學院的珍妮·琼 (Jenny Jun) 表示,大多數國家級駭客都會避免引發外交反彈,他們更像電影《瞞天過海》(Ocean’s Eleven) 中的角色:「戴著白手套,悄無聲息地進入,竊取王冠上的寶石,再悄無聲息地離開。」然而,朝鮮則 「不在乎保密——他們不怕張揚行動。」

朝鮮竊取的加密貨幣被用於何處?

對於朝鮮政權而言,被盜的加密貨幣已成為 經濟生命線,尤其是在國際制裁與新冠疫情進一步壓縮其有限貿易的情況下。與傳統的外匯來源(例如海外勞工或非法毒品交易)相比,加密貨幣盜竊更為 高效。聯合國專家小組 (UNPE) 在 2023 年報告中指出,網路犯罪收入已佔朝鮮外匯收入的一半。去年,朝鮮的數字盜竊金額超過了其對中國出口額的三倍。

這些資金不僅用來 控制菁英,還被用於 發展軍事計畫。目前普遍認為,朝鮮竊取的加密貨幣 大部分流入其導彈與核武計畫。

未來會有更多朝鮮駭客攻擊嗎?

加密貨幣調查人員在區塊鏈上追蹤被盜資金的能力日益增強。主流加密貨幣交易所與穩定幣發行商經常與執法機構合作,凍結被盜資金。2023 年,美國、日本與韓國宣布聯合行動,打擊朝鮮網路犯罪。美國已對朝鮮使用的多家「混幣」服務商進行制裁。

然而,當局仍然 落後一步。美國封鎖了朝鮮青睞的混幣服務後,駭客迅速轉向其他類似平台。與此同時,朝鮮則 不斷加大資源投入。韓國情報部門估計,朝鮮的網路犯罪團隊從 2022 年的 6800 人增加至 2023 年的 8400 人。

更令人擔憂的是,朝鮮 已經開始使用 AI 技術,使釣魚郵件更具說服力,並幫助遠端 IT 人員更容易滲透企業。未來,像 Bybit 這樣的駭客事件 恐怕會變得越來越常見。

此篇文章取自foresightnews:

https://foresightnews.pro/article/detail/80720

AIC 團隊敬上

2025/3/24