朝鮮在 2026 年盜走了所有加密黑客攻擊價值的 76%——僅憑兩次攻擊
一個由國家支持的黑客計劃,在被制裁的政府內部搭建,執行了 12 分鐘的代碼就拿走了 5.77 億美元。這不是網絡犯罪。這是由國家主導的金融戰——而加密行業是它的主要戰場。
📊 2026 年第二季度——加密史上遭受最嚴重攻擊的季度
◆ 黑客在 2026 年第二季度實施了 83 起事件——這是加密行業歷史上記錄到的、漏洞利用次數最多的季度;該季度總損失達 7.553 億美元(加密經濟)
◆ 到 2026 年 5 月底為止,今年 DeFi 駭客事件的總損失已超過 8.4 億美元,橫跨 50 起以上事件——相較 2025 年同期間,年增 70% (altFINS)
◆ 2026 年 4 月被認定為 DeFi 歷史上最慘的一個月——追蹤到超過 30 起獨立攻擊,令攻擊者合計約獲得 6.35 億美元;這也是自 2025 年初以來最高的月度損失數字之一 (Finextra)
◆ 就在 2026 年 6 月 24 日,Cardano 生態系的 SecondFi 被曝出遭利用,估計損失 1,940 萬~2,000 萬美元;該事件與其自有錢包生成軟體中的缺陷相關——SlowMist 分析師估計多達 1.29 億枚 ADA 可能已遭到竊取/受影響 (Bitcoin Foundation)
🇰🇵 北韓 Lazarus Group — 已驗證的數字
◆ 截至 2026 年 4 月之前,北韓駭客組織在 2026 年(截至 4 月)所有加密駭擊價值中占 76%——並非因為他們發動了一波又一波的攻擊,而是因為兩起合計 5.77 億美元的攻擊顯著碾壓其他所有案例;這兩起事件僅占 2026 年事件數的 3% (TRM)
◆ 2025 年,與 DPRK 相關的行為者竊取了 20.2 億美元,同比成長 51%;自 2017 年以來,北韓被歸因的累計加密竊盜金額現已超過 67.5 億美元 (Sanctions.io)
◆ 僅在 4 月過去兩週內,該集團就從兩起漏洞事件中攫取逾 5 億美元;CertiK 的資深區塊鏈安全研究員表示,加密產業需要開始用「銀行看待國家型駭客」的方式看待 Lazarus——「視其為持續存在且資金充裕的威脅,而不只是另一則新聞標題」 (CoinDesk)
◆ 聯合國專家小組估計,加密貨幣竊盜為北韓發展彈道飛彈與核武開發計畫提供了相當比例的資金;他們在安全理事會報告中以具體交易分析,將被歸因所得款項連結到武器採購網絡 (Sanctions.io)
🌉 攻擊 #1 — Drift Protocol:2.85 億美元、12 分鐘、6 個月的策劃
◆ 2026 年 4 月 1 日 Drift Protocol 的遭入侵事件,包含了三週的攻擊前佈署以及數月的社交工程,以攻破協議簽署者(signers);隨後,2.85 億美元的完整掏空在約 12 分鐘內完成 (TRM)
◆ Drift 這起攻擊並不是程式碼漏洞——而是一項長達六個月的社交工程行動,鎖定掌管管理者(admin)金鑰的人;私鑰遭竊所導致的資金被偷走占了大多數,而智慧合約稽核也無法提供保護:面對的是由國家支持的團隊、且對方有數月耐心,針對個別開發者下手 (Phemex)
◆ 被盜代幣透過 Jupiter 換成 USDC,再橋接到以太坊,最後換入 ETH——在轉移到新的錢包後就處於閒置/停止活動狀態;被盜的 ETH 自遭竊當天起就未再移動,符合北韓先前被記錄的策略:會持有所得款項數月或數年,直到執行有結構的套現作業時才行動 (TRM)
🌉 攻擊 #2 — KelpDAO:透過單一橋梁缺陷造成 2.92 億美元
◆ 2026 年 4 月 18 日,KelpDAO 在兩台由 LayerZero 托管的區塊鏈伺服器遭到入侵後,遭到約 2.9 億美元的攻擊;透過偽造的跨鏈訊息,將與以太坊網路連結的代幣洗走;LayerZero 的聲明表示:「初步跡象顯示,歸因很可能指向高度熟練的國家級行為者,疑似為 DPRK 的 Lazarus Group」 (UPI)
◆ 攻擊者利用該協議的橋合約,建立了未受抵押支持的代幣,接著用這些代幣借走真實資產——Cyvers 將其描述為「正是這種漏洞會爆得這麼快」,並確認它已演變成跨協議的擴散性事件,同時至少影響 9 個協議;Aave V3、SparkLend、Fluid、Compound 與 Euler 皆已轉而凍結其曝險 (CryptoPotato)
◆ 在 Arbitrum 安全委員會凍結了約 7,500 萬美元被竊資金之後,約 1.75 億美元的 ETH 透過 THORChain 被轉移並換成比特幣——這正是 2025 年 Bybit 竊案採用的同一路徑洗錢;THORChain 處理了兩起事件絕大多數的所得,並在沒有營運者介入的情況下,把數億美元規模的被竊 ETH 轉換為比特幣 (TRM)
◆ 僅在 KelpDAO 遭入侵後的兩天內,總 DeFi TVL 就減少了超過 130 億美元 (UPI)
🦠 先前沒有人注意到的新攻擊向量——「Mach-O Man」
◆ Lazarus Group 目前正在運行一項聚焦 macOS 的行動,代號「Mach-O Man」,目標是針對金融科技與加密公司的高階主管,方式是透過例行的商務通訊——使用一種名為 ClickFix 的社交工程手法:讓受害者被誘導進假線上的會議,並指示他們將指令貼到 Mac 終端機中,進而授予攻擊者存取權限,能橫向進入企業與金融系統 (CoinDesk)
◆ Mach-O Man 是一種模組化惡意程式套件,常在受害者意識到已遭入侵之前就會自行抹除——「根據 CertiK 的資深區塊鏈安全研究員說法,這次駭擊的多數受害者不會在損害發生之前察覺其安全性已被突破;等到他們意識到時,惡意程式早就已經刪除自己了。」 (CoinDesk)
◆ 2026 年 3 月 12 日,OFAC 指定了與北韓 IT 工人計畫相關的新制裁目標。該計畫已由起初由詐騙集團冒充加密公司的遠端工作應徵者、演變為協調偽造招聘流程——冒充知名 Web3 與 AI 公司的招募人員,蒐集憑證、來源程式碼與 VPN 存取 (Sanctions.io)
⚠️ 為何跨鏈橋仍是價值最高的攻擊目標
◆ 跨鏈橋漏洞在 2026 年第 2 季總損失中占 3.51 億美元——幾乎一半;僅 LayerZero 這起橋梁漏洞就促成了 KelpDAO 遭入侵 (Blockchain News)
◆ 橋接(Bridges)掌握大型且被鎖定的資產池,並依賴難以驗證的跨鏈訊息系統;當橋接失效時,攻擊者可能在單一交易中把支撐「封裝代幣」(wrapped tokens)的整個儲備挖走,這使得橋接成為 DeFi 中價值最高的攻擊目標;問題不僅是實作層面,而是架構性的 (1inch)
◆ 駭客獎金平台 Immunefi 的執行長 Mitchell Amador 警告,人工智慧的進步正在加劇這些趨勢——他形容具備 AI 的駭擊正在興起,猶如「漏洞末日」,攻擊者利用機器學習以史無前例的規模鑽探弱點 (Crypto Economy)
🔍 令人不安的現實
受侵害的帳戶目前已占所有 DeFi 攻擊的比重超過 50%(以事件數計)——首次超越傳統智慧合約漏洞,成為首要損失來源;以金額計算,這種偏斜更為明顯 (altFINS)
這個模式在每一個 2026 年的重大事件中都一致:程式碼不再是最薄弱的一環;掌握鑰匙的人才是。針對某一位開發者的一次為期六個月的社交工程攻擊就足以掏空一個持有數億美元協議資產的系統。審計抓不到。智慧合約升級也無法阻止——產業的安全模型建錯了威脅。
北韓正在運作一種幾乎可說是由國家資助的網路作戰行動,2017 年以來竊走了 67.5 億美元加密資產以資助武器計畫——那麼是否應要求全球的加密平台在法律上必須實施達到政府等級的資安標準?還是說這在根本上與去中心化金融應該代表的本質相互矛盾?
#CryptoSecurity #DeFiHacks #BlockchainSecurity #LazarusGroup #Web3
