揭秘朝鲜黑客如何成为加密货币盗窃的“万能剑”

来源：经济学人；编译：AIMan@金色财经

迪拜加密货币交易所Bybit的创始人Ben Zhou回忆起2月21日这一天时，依然心有余悸。那天原本平常无奇，他在睡前批准了一笔公司账户间资金转账的“典型操作”，为全球超过6000万用户提供服务。然而，半小时后，他的首席财务官打来电话，声音颤抖地说道：“Ben，出问题了……我们可能被黑客攻击了……所有的以太坊都不见了。”

独立调查人员和美国FBI很快将矛头指向了一个熟悉的罪魁祸首——朝鲜。来自这个隐士国家的黑客已经成为加密行业的最大威胁之一，也是朝鲜政权的重要收入来源，帮助其抵御国际制裁、控制精英阶层，并为其导弹和核武器计划提供资金。

根据加密货币调查公司Chainalysis的数据，2023年，朝鲜黑客窃取了6.61亿美元；而到2024年，这一数字翻了一番，在47次盗窃中累计窃取了13.4亿美元，占全球被盗加密货币总额的60%以上。

Bybit被盗案凸显了黑客技术和野心的不断提升：在一次攻击中，朝鲜从该交易所窃取了相当于15亿美元的资金，这是加密货币历史上规模最大的盗窃案。

朝鲜网络部队的起源

朝鲜的攻击能力是数十年努力的结果。该国第一所计算机科学学校可以追溯至1980年代。海湾战争让该政权认识到网络技术对现代战争的重要性。2016年叛逃的朝鲜高级外交官泰永浩(Thae Yong Ho)透露，有天赋的数学学生被送入特殊学校，并免于每年的农村义务劳动。朝鲜的网络部队最初被视为间谍和破坏工具，但在2010年代中期开始转向网络犯罪。金正恩曾称网络战为“万能剑”。

加密攻击与洗钱

窃取加密货币的过程分为两个主要阶段。第一阶段是入侵目标系统——这相当于找到通往银行金库的地下通道。钓鱼电子邮件可以植入恶意代码；朝鲜特工冒充招聘人员，诱使软件开发人员在虚假求职面试中打开受感染的文件。另一种方法是使用虚假身份在外国公司获得远程IT工作，从而为账户访问铺平道路。Chainalysis的Andrew Fierman表示：“他们非常擅长通过社会工程学寻找漏洞。”在Bybit案例中，黑客入侵了为数字钱包软件提供商工作的开发人员的计算机。

一旦加密货币被盗，就需要进行洗白。黑钱被分散到多个数字钱包中，与干净的资金混合，并在不同的加密货币之间转移，这一过程被称为“混币”和“跳链”。区块链分析公司Elliptic的汤姆·罗宾逊(Tom Robinson)指出：“他们是我们遇到过的最老练的加密货币洗钱者。”最后，被盗资金需要通过地下服务出金，许多此类服务与有组织犯罪有关。

执法部门的拦截减少了总体收入，但前联邦调查局分析师、现就职于区块链情报公司TRM Labs的尼克·卡尔森(Nick Carlsen)表示，朝鲜预期可以获得其窃取资金的“80%，甚至90%”。

朝鲜为何擅长窃取加密货币

朝鲜有几个显著优势。一是人才。尽管该国极度贫困，普通民众无法使用互联网甚至电脑，但首尔高丽大学的金承珠(Kim Seung-joo)表示：“朝鲜可以选拔最优秀的人才，并告诉他们该做什么。他们不必担心这些人会去三星工作。”2019年，在国际大学生编程大赛上，一支来自朝鲜大学的团队获得了第八名，击败了来自剑桥、哈佛、牛津和斯坦福的队伍。

这些才能也得到了充分利用。朝鲜黑客昼夜不停地工作，发动攻击时异常大胆。佐治亚理工学院的珍妮·琼(Jenny Jun)表示，大多数国家行为者试图避免外交反弹，“像在《十一罗汉》中一样行动：戴着白手套，悄无声息地进入，偷走皇冠上的宝石，悄无声息地离开”。而朝鲜并不“重视保密——他们不怕大声喧哗”。

朝鲜盗取的加密货币被用来干什么

对于朝鲜政权而言，被盗的加密货币已成为一条生命线，尤其是在国际制裁和新冠疫情抑制其本已有限的贸易的情况下。与传统的硬通货来源（例如海外劳工或非法毒品）相比，加密货币盗窃是一种更高效的赚取硬通货的方式。据联合国专家小组(UNPE)2023年报告，网络盗窃占朝鲜外汇收入的一半。去年，朝鲜的数字盗窃价值是其对华出口额的三倍多。卡尔森先生说：“数百万劳动力所获得的东西，只需几十个人就能复制。”

这些资金支撑了朝鲜政权的运作。硬通货被用来购买奢侈品以控制精英阶层，还用于制造武器。据信，朝鲜大部分被盗的加密货币流入了其导弹和核武器计划。

未来会有更多朝鲜黑客攻击吗

加密货币调查人员在区块链上追踪被盗资金的能力不断提高。主流加密货币交易所和稳定币发行商经常与执法部门合作冻结被盗资金。2023年，美国、日本和韩国宣布了一项旨在打击朝鲜网络犯罪的联合行动。美国还对朝鲜使用的几家“混币”服务提供商实施了制裁。

然而，当局仍处于被动状态。在美国制裁朝鲜青睐的混币器后，黑客迅速转向提供类似服务的其他公司。解决这一问题需要政府和私营部门的多边努力，但这种合作一直在破裂。去年，俄罗斯利用其在联合国的否决权废除了联合国网络安全能力委员会。唐纳德·特朗普总统削减美国发展援助的举措打击了旨在建设脆弱国家网络安全能力的计划。

相比之下，朝鲜正在向网络犯罪投入越来越多的资源。韩国情报部门估计，朝鲜网络犯罪队伍从2022年的6,800人增加到去年的8,400人。印度智库观察家研究基金会的阿比谢克·夏尔马(Abhishek Sharma)表示，随着加密货币行业在监管较弱的国家扩张，朝鲜拥有了越来越“丰富的目标环境”。夏尔马指出，去年，朝鲜袭击了位于印度和印度尼西亚的交易所。

值得注意的是，朝鲜已经在行动中广泛使用AI。AI工具可以帮助使网络钓鱼电子邮件更具说服力，并更容易以多种语言大规模制作。它们还可以使远程IT工作者更容易渗透到公司。像Bybit的Zhou先生这样的糟糕日子，可能会变得越来越常见。