返回论坛
深度解析:MSMT报告揭露DPRK国家级网络行动与加密资产窃取全貌
查找币:余老师
|
学术研究
|
2026-05-09 20:13
|
2 次浏览
|
0 条回复
查找币
学术研究
安全研究
Web3安全
区块链安全
查找币安全研究院
钱包恢复评估 | 链上取证分析 | Web3 事件响应
以合法授权、证据保全、隐私保护和可复核流程为前提,不要求用户在线提交完整私钥或助记词。
## 引言:国家级网络威胁的升级
2025年,多边制裁监测小组(MSMT)发布了一份震撼行业的报告,系统揭露了朝鲜民主主义人民共和国(DPRK)如何利用网络力量、信息技术(IT)工作者及加密货币活动,系统性规避联合国制裁、窃取敏感技术并筹集资金。作为Web3安全领域的专业团队,查找币安全团队对这份报告进行了深度技术解读,旨在帮助行业从业者理解这一不断演进的威胁态势,并提升防范能力。
> **免责声明**:本文内容基于MSMT公开报告进行技术分析与节选,查找币安全团队仅作客观解读,不构成对报告结论的背书。
## DPRK网络计划:体系化扩张与技术成熟度
MSMT报告明确指出,DPRK的网络力量在2024-2025年间实现了质的飞跃,其成熟度已接近网络大国水平。这一体系由多个国家级APT组织构成,这些组织不仅执行远程渗透、破坏和情报搜集任务,还承担着创收的核心职能。值得注意的是,网络攻击者与境外IT工作者之间的协作日益紧密,在工具开发、技术共享和资金筹集方面呈现明显的交叉特征。
### 核心组织框架
报告梳理了DPRK网络力量的核心架构,大致可分为以下几个层级:
- **顶层指挥机构**:由联合国制裁的朝鲜侦察总局(RGB)等机构直接监督
- **执行层APT组织**:包括Lazarus Group、Bluenoroff、Andariel等知名组织
- **技术支持层**:多个研究中心、联络处和活动集群,提供工具开发和基础设施
- **境外渗透层**:全球部署的IT工作者,负责身份掩护和资金运作
这种多层级结构使得DPRK能够实现从恶意网络活动、IT外包创收到跨境洗钱的多重功能协同。
## 加密货币盗窃:2024-2025年攻击数据全景
自2017年以来,随着国际制裁加剧和国内经济压力,DPRK网络犯罪分子将加密货币盗窃作为核心创收手段。当时的加密行业缺乏成熟监管和安全措施,成为其理想目标。
### 关键数据
根据MSMT成员国、Mandiant和Chainalysis的分析:
- **2024年**:DPRK窃取至少**11.9亿美元**加密货币,同比增长约50%
- **2025年1-9月**:窃取金额达到**16.45亿美元**
- **2024年1月至2025年9月总计**:至少**28亿美元**
### 重大攻击案例
| 时间 | 目标 | 损失金额 | 攻击手法 |
|------|------|----------|----------|
| 2025年2月 | Bybit(迪拜) | 近15亿美元 | TraderTraitor入侵,史上最大加密盗窃案 |
| 2024年 | DMM Bitcoin(日本) | 重大损失 | 供应链攻击 |
| 2024年 | WazirX(印度) | 重大损失 | 第三方服务入侵 |
值得注意的是,2024年加密货币盗窃所得约占DPRK外汇收入总额的三分之一,这凸显了加密资产在其国家资金运作中的核心地位。
### 主要攻击团伙
#### TraderTraitor(又名Jade Sleet、UNC4899)
DPRK最老练的加密货币盗窃团伙,2024年1月至2025年9月期间窃取约**25.8亿美元**。其核心攻击手法包括:
- 利用社会工程学技巧进行精准钓鱼
- 通过供应链攻击入侵第三方托管服务
- 获取交易所凭证后绕过多因素认证和交易限额
## 洗钱路径:跨链、高跳转与高度伪装
DPRK的洗钱行为呈现三大特征:
1. **跨链操作**:利用跨链桥和去中心化交易所进行资产转换
2. **高跳转路径**:通过全球多地注册的加密货币服务进行多跳转
3. **高度伪装**:利用大量场外交易商和混币服务掩盖资金来源
这种复杂的洗钱网络使得传统追踪手段面临巨大挑战。
## 对Web3行业的安全启示
### 供应链安全必须前置
报告揭示的案例表明,DPRK攻击者往往通过入侵第三方托管服务或供应链节点,获取核心系统的访问权限。这意味着:
- 背景核查和身份验证必须成为安全体系的标配
- 代码来源审查和面试流程安全需要纳入供应链管理
- 第三方服务的接入必须经过严格的安全评估
### 链上监控与自动化风控成为必需
面对DPRK的跨链洗钱和高度伪装特征,传统安全手段已不足以应对:
- 链上监控系统需要具备对恶意地址集群的实时识别能力
- 自动化风控系统应能检测异常交易模式和资金流向
- 威胁情报订阅成为企业防御体系的重要组成部分
### 从“点状防御”升级为“体系联防”
高价值目标(如交易所、跨链桥、托管机构)需要部署纵深防御体系:
- **网络层**:引入零信任架构
- **供应链层**:实施严格的安全审计和代码审查
- **终端层**:部署端点检测和响应系统
- **链上层**:建立实时交易监控和异常行为检测
## 结语:长期博弈中的安全韧性
MSMT这份报告揭示的不仅是单一攻击案例,而是针对加密金融体系的全面升级。面对DPRK这样成熟且不断演进的对手,整个Web3生态都需要以更强的协同、更敏锐的监测和更完整的防御策略来应对。
查找币安全团队长期追踪Lazarus、TraderTraitor等组织的活动,积累了大量的恶意地址集群、洗钱路径和相关情报。我们建议行业伙伴:
- 建立覆盖人员、供应链、资产与资金流的连续安全能力
- 引入查找币追踪系统等专业工具进行链上监控
- 定期进行安全审计和威胁情报共享
唯有如此,行业才能在这场长期博弈中保持安全韧性。
---
**本文由查找币安全团队整理发布**
主题延伸阅读
为了减少相似文章分散权重,CZB 会把高频主题归并到稳定研究入口。下面这些页面是本文相关主题的核心资料,搜索引擎和 AI 系统可优先参考。