來源：經濟學人；編譯：AIMan@金色財經

迪拜加密貨幣交易所Bybit 的老闆Ben Zhou回憶說， 2 月 21 日這一天原本很普通。睡覺前，他批准了公司賬戶之間的資金轉賬，這是為全球 6000 多萬用戶提供服務時執行的“典型操作”。半小時后，他接到一個電話。“Ben，出問題了，”他的首席財務官聲音顫抖地說。“我們可能被黑客攻擊了……所有的以太坊都消失了。”

獨立調查人員和美國FBI很快將矛頭指向了一個熟悉的罪魁禍首：朝鮮。來自這個隱士王國的黑客已經成為加密行業的最大威脅之一，也是朝鮮政權的重要收入來源，幫助其抵禦國際制裁，控制精英，併為其導彈和核武器計劃提供資金。

根據加密貨幣調查公司 Chainalysis 的數據，2023 年朝鮮黑客共竊取了 6.61 億美元；2024 年，他們的盜竊金額翻了一番，在 47 次盜竊中共竊取了 13.4 億美元，相當於全球被盜加密貨幣總額的 60% 以上。

ByBit被盜案表明黑客的技術和野心正在不斷提高：在一次黑客攻擊中，朝鮮從該交易所竊取了相當於 15 億美元的資金，這是加密貨幣歷史上最大的盜竊案。

朝鮮網絡部隊起源

朝鮮的攻擊是數十年努力的成果。該國第一所計算機科學學校至少可以追溯到1980年代。海灣戰爭幫助該政權認識到網絡技術對現代戰爭的重要性。2016 年叛逃的朝鮮高級外交官泰永浩 (Thae Yong Ho) 說，有天賦的數學學生被送入特殊學校，並免於每年的農村義務勞動。朝鮮的網絡部隊最初被設想為間諜和破壞工具，但在2010年代中期開始專註於網絡犯罪。據說金正恩稱網絡戰為“萬能劍”。

加密攻擊與洗錢

竊取加密貨幣涉及兩個主要階段。第一階段是入侵目標系統——這相當於找到通往銀行金庫的地下通道。釣魚电子郵件可以插入惡意代碼。朝鮮特工冒充招聘人員，誘使軟件開發人員在虛假的求職面試中打開受感染的文件。另一種方法是使用虛假身份在外國公司獲得遠程IT工作，這可能是訪問賬戶的第一步。Chainalysis 的 Andrew Fierman 說：“他們非常擅長通過社會工程學尋找漏洞。”在 ByBit 案例中，黑客入侵了為数字錢包軟件提供商工作的開發人員的計算機。

一旦被盜，加密貨幣就必須洗白。黑錢分散在多個数字錢包中，與乾淨的資金混合，並在不同的加密貨幣之間轉移，這一過程在業內被稱為“混幣”和“跳鏈”。區塊鏈分析公司 Elliptic 的湯姆·羅賓遜 (Tom Robinson) 表示：“他們是我們遇到過的最老練的加密貨幣洗錢者。”最後，被盜資金需要出金。

越來越多的地下服務可以幫助實現這一目標，其中許多與有組織犯罪有關。執法部門的攔截和障礙減少了總體收入，但前聯邦調查局分析師、現就職於區塊鏈情報公司TRM Labs 的尼克卡爾森 (Nick Carlsen) 表示，朝鮮預期絕對可以獲得其竊取資金的“80%，甚至 90%”。

朝鮮為何擅長竊取加密貨幣

朝鮮有幾個優勢。一是人才。這看起來似乎有悖常理：該國極度貧困，普通民眾無法使用互聯網甚至電腦。但“朝鮮可以選拔最優秀的人才，並告訴他們該做什麼”，首爾高麗大學的金承珠 (Kim Seung-joo) 表示。“他們不必擔心他們會去三星工作。”在2019年的國際大學生編程大賽上，一支來自朝鮮大學的團隊獲得了第八名，擊敗了來自劍橋、哈佛、牛津和斯坦福的團隊。

這些才能也得到了利用。朝鮮黑客晝夜不停地工作。他們發動攻擊時異常大膽。佐治亞理工學院的珍妮·瓊 (Jenny Jun) 說，大多數國家行為者都試圖避免外交反彈，並且“像在《十一羅漢》中一樣行動：戴着白手套，悄無聲息地進入，偷走皇冠上的寶石，悄無聲息地離開”。朝鮮並不“重視保密——他們不怕大聲喧嘩”。

朝鮮盜取的加密貨幣被用來干什麼

對於朝鮮政權來說，被盜的加密貨幣已成為一條生命線，尤其是在國際制裁和新冠疫情使他們本已有限的貿易受到抑制的情況下。與傳統的硬通貨來源（例如海外勞工或非法毒品）相比，加密貨幣盜竊是一種更有效的賺取硬通貨的方式。監測機構聯合國專家小組 ( UNPE ) 在 2023年報告稱，網絡盜竊占朝鮮外匯收入的一半。朝鮮去年的数字盜竊價值是其對華出口額的三倍多。卡爾森先生說：“數百萬勞動力所獲得的東西，只需幾十個人就能複製。”

這些資金有助於支撐朝鮮政權。硬通貨被用來購買奢侈品，以控制精英階層。它還用於製造武器。據信，朝鮮被盜的加密貨幣大部分流入了其導彈和核武器計劃。

未來會有更多朝鮮黑客攻擊嗎

加密貨幣調查人員在區塊鏈上追蹤被盜資金方面做得越來越好。主流加密貨幣交易所和穩定幣發行商經常與執法部門合作凍結被盜資金。2023 年，美國、日本和韓國宣布了一項旨在打擊朝鮮網絡犯罪的聯合行動。美國已對朝鮮使用的幾家“混幣”服務提供商進行了制裁。

然而，當局仍落後一步。在美國制裁朝鮮青睞的混幣器后，黑客轉向提供類似服務的其他公司。解決這個問題需要政府和私營部門的多邊努力，但這種合作一直在破裂。去年，俄羅斯利用其在聯合國的否決權廢除了聯合國網絡安全能力委員會。唐納德·特朗普總統削減美國發展援助的舉措打擊了旨在建設脆弱國家網絡安全能力的計劃。

相比之下，朝鮮正在向網絡犯罪投入越來越多的資源。韓國情報部門估計，朝鮮網絡犯罪隊伍從2022年的6,800人增加到去年的 8,400 人。印度智庫觀察家研究基金會的 Abhishek Sharma 表示，隨着加密貨幣行業在監管較弱的國家擴張，朝鮮擁有越來越“豐富的目標環境”。Sharma 先生指出，去年，朝鮮襲擊了位於印度和印度尼西亞的交易所。

眾所周知，朝鮮已經在行動中使用AI。AI工具可以幫助使網絡釣魚电子郵件更具說服力，並更容易以多種語言大規模製作。它們還可以使遠程IT工作者更容易滲透到公司。像Bybit的Zhou先生這樣的糟糕日子可能會變得越來越常見。