北韓駭客成幣圈最大夢魘！今年「76% 被盜資金」全落入平壤口袋

區塊鏈情報公司 TRM Labs 最新報告顯示，2026 年才剛過 4 個月，北韓駭客組織已在幣圈瘋狂掠奪約 5.77 億美元，占全球同期幣圈遭駭損失總額的 76% 。

這筆鉅款損失主要來自今年 4 月爆發的兩大駭客事件：流動性再質押協議 Kelp DAO（損失 2.92 億美元）以及去中心化衍生品交易所 Drift Protocol（損失 2.85 億美元）。 TRM 指出，雖然這兩起案件僅占今年前 4 個月總攻擊「次數」的 3%，卻包辦了絕大多數的損失金額。

報告揭露，Kelp DAO 攻擊案源自惡名昭彰、與拉撒路集團（Lazarus Group）關係密切的「TraderTraitor」；而 Drift 則是由另一個尚未完全曝光的北韓駭客小組所為。

實體滲透與技術操弄：Drift 遭「養套殺」12 分鐘內被掏空

TRM 揭露，Drift 攻擊並非短期突襲，而是歷時數月的精密滲透行動，北韓代理人透過多次線下會面接觸 Drift 團隊，隨後自 3 月 11 日起開始部署攻擊準備，包括在 Solana 上建立「持久 nonce 帳戶（durable nonce accounts，用於預先簽署交易）」，並誘導 Drift 安全委員會的多重簽章成員，預先授權交易。

致命一擊發生在 4 月 1 日。就在 Drift 將安全委員會權限轉移到「5 人中需 2 人同意（2/5 門檻）」、且取消了時間鎖（Timelock，交易送出後的緩衝等待時間）短短幾天後，駭客在 12 分鐘內觸發 31 筆預先簽名的提款指令，迅速掏空資金。

目前這些被盜資產已被跨鏈轉移至以太坊，至今仍處於休眠狀態。

直攻底層基礎設施：KelpDAO 淪陷始末

相較於 Drift 的社交工程陷阱，KelpDAO 遭遇的則是技術攻擊。駭客看準跨鏈通訊協議 LayerZero 橋接器中「單一驗證者」的架構缺陷，透過入侵 RPC（遠端程序呼叫）基礎設施，竄改了跨鏈驗證邏輯。

在迫使系統將驗證權限轉移至受駭客控制的節點後，超過 11.6 萬枚 rsETH 被洗劫一空。即便 Arbitrum 官方緊急凍結了部分資產，駭客仍迅速透過跨鏈流動性協議 THORChain 等基礎設施，將多數資金迅速洗白轉出。

TRM 數據顯示，北韓駭客占全球加密貨幣失竊總額的比例，正以令人不安的速度攀升：從 2020 年、 2021 年不到 10%，一路攀升至 2022 年的 22%，2023 年的 37%，2024 年的 39%，再到 2025 年的 64%，今年以來更是衝上了 76% 的歷史新高。

據 TRM 統計，自 2017 年以來，北韓駭客所竊取的加密貨幣金額累計已突破 60 億美元。

報告指出，2025 年加密貨幣交易所 Bybit 遭駭 14.6 億美元的世紀大案，是北韓駭客犯案模式的重大轉折點。自此之後，這些國家級精英駭客改變了戰術，不再「亂槍打鳥」，而是鎖定高價值的「大肥羊」，專門攻擊跨鏈橋（Bridges）、多簽治理系統等關鍵基礎設施，務求一擊必殺。

洗錢手法：長期蟄伏 vs. 地下極速變現

Drift 與 KelpDAO 兩案也凸顯了北韓洗錢手法的分歧。 Drift 案的駭客極具耐心，資金轉入以太坊後就一直按兵不動。專家研判，他們可能打算將資金「雪藏」數月甚至數年，待風頭過去後再透過多階段的複雜操作套現。

反觀 KelpDAO 案的駭客則講求速戰速決，迅速透過 THORChain 將資金兌換成比特幣，並將後續的洗錢工作交由中國的地下洗錢中介處理。

面對日益猖獗的威脅，TRM 呼籲各大平台應立即提升合規監控，優先防禦重點包括：嚴密監控經由 THORChain 流出的跨鏈資金、強化跨鏈橋基礎設施的「多跳（Multi-hop）交易追蹤」，以及嚴格篩查 Solana 治理相關的存款路徑，尤其是涉及持久 nonce 機制的交易。

此外，TRM 也強烈建議業界積極加入 Beacon Network 等跨平台聯防機制，一旦鎖定北韓駭客的錢包地址，便能迅速觸發跨平台聯合警報，徹底斬斷駭客的洗錢金流。