朝鲜特工如何渗透顶级加密协议？研究员揭露长达七年的隐秘渗透行动

朝鲜相关的特工多年来一直悄悄潜入加密货币公司和DeFi项目内部，这一长期渗透行动最近被安全研究人员揭露。

来自朝鲜民主主义人民共和国的新闻和报道往往带有特定的阴谋论-动作电影感觉。然而，它们也往往真实且毫不夸张。这一次，安全研究员兼MetaMask开发者Taylor Monahan在周日于社交网络X上发帖称，这些方法可以追溯到DeFi形成初期，与朝鲜相关的参与者悄悄为几个主要、广泛使用的协议做出了贡献。

Yuppppppp Lots of DPRK IT Workers built the protocols you know and love, all the way back to defi summer The “7 years blockchain dev experience” on their resume is not a lie.

她声称，朝鲜IT工作者在大约七年时间里悄悄在40多个DeFi项目内部工作，包括在DeFi夏季后成为家喻户晓的协议。

oh god uhhhh like sushi, thorchain, yam, pickle, harvest, reclaim, swing, paid, naos, shezmu, qrolli, saffron, sifu, napier, harmony, blueberry, stabble, onering, elemental, divvy, la token, impermax, kira, cook, fantom, ankr, gamerse, metaplay, spice, beanstalk, deltaprime,…

这些工作者通常拥有”真实”的链上经验（七年区块链开发经验），但使用被盗或合成身份进行操作，通过正常的招聘渠道进入团队。

她的帖子回复了tim，他是基于Solana的DEX聚合器和路由项目Titan的匿名建设者和公众面孔。tim声称，在之前的工作中，他们面试了一位极其合格的候选人，结果发现是Lazarus特工，这是一个与朝鲜有关的组织，通过加密货币网络转移了数十亿美元的赃款。

at a previous job, we interviewed someone who turned out to be a Lazarus operative. he did video calls and was extremely qualified we invited him for in person interviews and he ultimately declined to fly out, so we passed only later did we find his name in a Lazarus info dump…

著名的加密货币侦探ZachXBT也回复了tim的帖子，解释说这不仅仅是”Lazarus”，而是一个由侦察总局协调的朝鲜单位网络（Lazarus、APT38、AppleJeus等），专门为金融网络犯罪优化。他们的方法基于”基本、不懈”的通过LinkedIn、招聘网站、面试、Zoom的接触，以及团队仍然过于轻易授予的远程开发角色。

美国财政部外国资产控制办公室（OFAC）最近的制裁和Chainalysis的发现表明，朝鲜IT网络仅在2024年就创造了8亿美元收入，自2017年以来已经转移了数十亿美元的被盗加密货币，用于资助大规模杀伤性武器（WMD）和导弹计划。

关于Drift Protocol加密黑客攻击的新信息

4月1日对Drift Protocol的2.85亿美元攻击重新引发了人们对朝鲜内部威胁的担忧，特别是在该协议本身周六确认将攻击与朝鲜黑客组织联系起来的猜测是正确的之后。

https://t.co/qYBMCup9i6

他们”以中等置信度”将攻击归因于UNC4736，这是一个与朝鲜结盟、由国家支持的黑客组织。该协议声称攻击者依赖于精心策划的社会工程策略：虚假的专业身份、线下会议互动以及设置陷阱的开发工具，在最终执行漏洞利用之前先危害贡献者。

攻击者伪装成合法的交易公司，在多个国家与Drift贡献者线下会面，并使用完全构建的身份、工作经历和专业网络，然后触发漏洞利用。

攻击者通过将恶意任务插入VS Code和Cursor配置中来武器化常见的开发工具，提供一个被破坏的仓库，贡献者在本地运行而没有意识到。

所有这些因素使得这一事件更像是内部供应链妥协，而不是直接的智能合约攻击。

攻击发生后的第二天，Ledger首席技术官Charles Guillement将攻击方法与Bybit的14亿美元黑客攻击联系起来，后者被归因于该政权的网络单位。

然后，在周五，区块链分析公司Elliptic发布了一项调查，声称链上行为、洗钱方法和网络级指标与先前朝鲜相关行动中看到的技术相符。Bitcoinist报道了这一故事。

市场影响

这一系列加密黑客攻击已转变为结构性国家安全风险。监管机构和制裁机构已经在收紧对朝鲜IT网络的监管，更积极的执法可能会随之而来。

大型、国家相关的漏洞利用创造了潜在的协议风险：更高的保险费用、潜在的退市、关于赔偿的治理内斗，以及DeFi代币和永续合约交易量的更长时间风险规避期。

封面图片来自Perplexity。BTCUSDT图表来自Tradingview。