与朝鲜有关联的人员多年来一直秘密潜入加密货币公司和去中心化金融项目内部。

一段长期的加密货币渗透事件

来自朝鲜民主主义人民共和国的新闻和报道往往有一种特定的阴谋论-动作片的感觉。不过，这些报道也往往具有一定的真实性，并且绝没有过度夸张之处。

这一次，安全研究员、MetaMask 开发者泰勒·莫纳汉在周日于社交网络 X 上的一篇帖子中表示，这些手段可以追溯到去中心化金融（DeFi）的初创时期，与朝鲜有关的人员悄悄为几个重要的、广泛使用的协议做出了贡献。

她声称，在大约七年的时间里，朝鲜的 IT 从业人员一直在 40 多个去中心化金融项目中默默工作，其中包括一些在去中心化金融热潮期间变得广为人知的协议。

这些员工通常拥有“真正的”链上工作经验（拥有七年区块链开发经验），但他们却使用被盗用或伪造的身份进行工作，通过常规的招聘渠道加入团队。

她的帖子回复了蒂姆，他是一位匿名的建筑商兼泰坦项目的公众形象代表，泰坦是一个基于索拉纳的去中心化交易所聚合器和路由项目。她声称，在之前的一次工作中，他们面试了一位非常合格的候选人，结果却发现此人是“拉扎斯”组织的成员，该组织与朝鲜有关联，通过加密货币网络转移了数十亿美元的被盗资金。

知名加密货币侦探扎克·XBT 也对蒂姆的帖子作出了回复，他解释说这并非仅仅是“拉撒路”组织，而是一个由朝鲜单位组成的网络（拉撒路、APT38、AppleJeus 等），该网络由侦察总局协调，并针对金融型网络犯罪进行了优化。他们的手段基于“基本且坚持不懈”的网络推广方式，包括利用领英、招聘网站、面试、Zoom 等渠道，而且团队仍然过于轻易地授予远程开发职位。

美国财政部海外资产控制办公室（OFAC）近期发布的制裁措施以及 Chainalysis 的调查结果表明，朝鲜的信息技术网络在 2024 年单一年份就创造了 8 亿美元的收入，并且自 2017 年以来已转移了数十亿美元的被盗加密货币，这些资金被用于支持大规模杀伤性武器（WMD）和导弹项目。

关于“驱动”协议遭加密黑客攻击的新信息

4 月 1 日发生的 2.85 亿美元的“驱动”协议遭攻击事件再次引发了人们对来自朝鲜的内部威胁的担忧，尤其是在该协议于周六证实有关此次攻击与朝鲜黑客组织有关的猜测是正确的之后。

他们“有一定把握”地将此次攻击归咎于“UNC4736”组织，该组织隶属于朝鲜，是受政府支持的黑客团体。

该协议称，攻击者采用了精心设计的社会工程策略：伪造专业形象、面对面的会议交流以及设置陷阱的开发工具，以在最终实施攻击之前破坏参与者的信任，从而最终成功实施了攻击。攻击者伪装成一家合法的贸易公司，在多个国家与 Drift 的参与者进行了面对面的会面，并使用了完全构建的身份信息，包括工作经历和专业人脉关系，然后触发了攻击。

攻击者利用常见的开发工具，将恶意任务嵌入到 VS Code 和 Cursor 配置中，交付了一个被篡改的存储库，而贡献者在本地运行该存储库时并未察觉。所有这些因素综合起来，使得这一事件更像是内部人员发起的供应链攻击，而非单纯的智能合约攻击。

袭击发生后的第二天，莱德公司首席技术官查尔斯·吉勒梅将此次攻击手法与 Bybit 遭受的 14 亿美元黑客攻击联系了起来，该攻击事件被归因于朝鲜政权的网络部门。随后，在周五，区块链分析公司 Elliptic 发布了一份调查报告，声称链上行为、洗钱方式以及网络层面的指标与此前与朝鲜有关的行动中所见到的手段相吻合。比特币新闻网对此进行了报道。

市场影响

这场加密货币黑客事件已演变成一种结构性的国家安全风险。监管机构和制裁机构已经加强了对朝鲜信息技术网络的管控，未来可能会采取更严厉的措施。

大型与政府相关的漏洞会带来潜在的协议风险：保险费上涨、可能的退市、关于赔偿的治理内部争斗，以及去中心化金融代币和期货交易量的风险规避期延长。

小链网的编辑流程旨在提供经过深入研究、准确且无偏见的内容。我们严格遵守来源标准，并且每一页都会由我们顶尖的技术专家和资深编辑团队进行仔细审查。这一流程确保了我们内容的完整性、相关性和价值，从而服务于我们的读者。