區塊鏈情報公司 TRM Labs 最新報告顯示,2026 年才剛過 4 個月,北韓駭客組織已在幣圈瘋狂掠奪約 5.77 億美元,占全球同期幣圈遭駭損失總額的 76% 。 這筆鉅款損失主要來自今年 4 月爆發的兩大駭客事件:流動性再質押協議 Kelp DAO(損失 2.92 億美元)以及去中心化衍生品交易所 Drift Protocol(損失 2.85 億美元)。 TRM 指出,雖然這兩起案件僅占今年前 4 個月總攻擊「次數」的 3%,卻包辦了絕大多數的損失金額。 報告揭露,Kelp DAO 攻擊案源自惡名昭彰、與拉撒路集團(Lazarus Group)關係密切的「TraderTraitor」;而 Drift 則是由另一個尚未完全曝光的北韓駭客小組所為。 實體滲透與技術操弄:Drift 遭「養套殺」12 分鐘內被掏空 TRM 揭露,Drift 攻擊並非短期突襲,而是歷時數月的精密滲透行動,北韓代理人透過多次線下會面接觸 Drift 團隊,隨後自 3 月 11 日起開始部署攻擊準備,包括在 Solana 上建立「持久 nonce 帳戶(durable nonce accounts,用於預先簽署交易)」,並誘導 Drift 安全委員會的多重簽章成員,預先授權交易。 致命一擊發生在 4 月 1 日。就在 Drift 將安全委員會權限轉移到「5 人中需 2 人同意(2/5 門檻)」、且取消了時間鎖(Timelock,交易送出後的緩衝等待時間)短短幾天後,駭客在 12 分鐘內觸發 31 筆預先簽名的提款指令,迅速掏空資金。 目前這些被盜資產已被跨鏈轉移至以太坊,至今仍處於休眠狀態。 直攻底層基礎設施:KelpDAO 淪陷始末 相較於 Drift 的社交工程陷阱,KelpDAO 遭遇的則是技術攻擊。駭客看準跨鏈通訊協議 LayerZero 橋接器中「單一驗證者」的架構缺陷,透過入侵 RPC(遠端程序呼叫)基礎設施,竄改了跨鏈驗證邏輯。 在迫使系統將驗證權限轉移至受駭客控制的節點後,超過 11.6 萬枚 rsETH 被洗劫一空。即便 Arbitrum 官方緊急凍結了部分資產,駭客仍迅速透過跨鏈流動性協議 THORChain 等基礎設施,將多數資金迅速洗白轉出。 TRM 數據顯示,北韓駭客占全球加密貨幣失竊總額的比例,正以令人不安的速度攀升:從 2020 年、 2021 年不到 10%,一路攀升至 2022 年的 22%,2023 年的 37%,2024 年的 39%,再到 2025 年的 64%,今年以來更是衝上了 76% 的歷史新高。 據 TRM 統計,自 2017 年以來,北韓駭客所竊取的加密貨幣金額累計已突破 60 億美元。 報告指出,2025 年加密貨幣交易所 Bybit 遭駭 14.6 億美元的世紀大案,是北韓駭客犯案模式的重大轉折點。自此之後,這些國家級精英駭客改變了戰術,不再「亂槍打鳥」,而是鎖定高價值的「大肥羊」,專門攻擊跨鏈橋(Bridges)、多簽治理系統等關鍵基礎設施,務求一擊必殺。 洗錢手法:長期蟄伏 vs. 地下極速變現 Drift 與 KelpDAO 兩案也凸顯了北韓洗錢手法的分歧。 Drift 案的駭客極具耐心,資金轉入以太坊後就一直按兵不動。專家研判,他們可能打算將資金「雪藏」數月甚至數年,待風頭過去後再透過多階段的複雜操作套現。 反觀 KelpDAO 案的駭客則講求速戰速決,迅速透過 THORChain 將資金兌換成比特幣,並將後續的洗錢工作交由中國的地下洗錢中介處理。 面對日益猖獗的威脅,TRM 呼籲各大平台應立即提升合規監控,優先防禦重點包括:嚴密監控經由 THORChain 流出的跨鏈資金、強化跨鏈橋基礎設施的「多跳(Multi-hop)交易追蹤」,以及嚴格篩查 Solana 治理相關的存款路徑,尤其是涉及持久 nonce 機制的交易。 此外,TRM 也強烈建議業界積極加入 Beacon Network 等跨平台聯防機制,一旦鎖定北韓駭客的錢包地址,便能迅速觸發跨平台聯合警報,徹底斬斷駭客的洗錢金流。