朝鲜特工就是这样渗透顶级加密协议的，研究人员声称

与朝鲜有关的操作人员已悄然渗透进加密货币公司和DeFi项目多年。

一场旷日持久的加密渗透行动

关于朝鲜民主主义人民共和国的新闻报导总带着阴谋论动作片的色彩，但这些内容往往真实得令人毛骨悚然。

安全研究员兼MetaMask开发者泰勒·莫纳汉在社交平台X的周日帖文中指出，这种渗透手法可追溯至DeFi发展初期——与朝鲜政权有关联的黑客长期潜伏在多个主流协议开发生态中。

她披露，过去七年里朝鲜IT人员已成功打入40余个DeFi项目，其中不乏"DeFi盛夏"时期崛起的明星协议。

这些渗透者往往具备"真实"的链上开发经验（七年区块链开发资历），但使用盗用或伪造身份，通过常规招聘渠道混入开发团队。

她的帖子是对Titan项目核心成员tim的回应。这个Solana链上DEX聚合器的匿名构建者透露，其团队曾面试过一位资质过硬的候选人，后来发现竟是朝鲜黑客组织"拉撒路"成员——该组织通过加密货币网络转移了数十亿美元赃款。

知名链上侦探ZachXBT进一步指出，这不仅是"拉撒路"单独行动，而是朝鲜侦察总局协调的APT38、AppleJeus等多部门协同作战。渗透手段包括领英海投、远程职位申请等基础但高效的社交工程，而许多团队对远程开发者的背景审查仍过于宽松。

美国财政部外国资产控制办公室（OFAC）最新制裁与Chainalysis数据显示，朝鲜IT网络2024年已获利8亿美元，自2017年起经手的被盗加密货币总额达数十亿，这些资金最终流向大规模杀伤性武器及导弹计划。

4月1日Drift协议遭遇2.85亿美元攻击，周六该协议官方证实攻击者确系朝鲜黑客组织，再度引发行业对内部威胁的恐慌。

协议方以"中等可信度"将攻击归因于UNC4736——一个受朝鲜国家资助的黑客组织。

攻击者采用了精心设计的社交工程策略：伪造专业身份，跨国线下接触核心开发者，在开发工具中植入恶意代码。他们伪装成合法交易公司，用完整构建的职业履历获取信任，最终触发漏洞。

攻击者通过篡改VS Code和Cursor编辑器配置，在开发者本地环境植入恶意代码库。整套攻击链更接近内部供应链攻击，而非简单的智能合约漏洞利用。

攻击次日，Ledger技术总监查尔斯·吉耶曼指出该手法与Bybit14亿美元被盗案如出一辙。周五区块链分析公司Elliptic发布报告称，链上行为模式、洗钱手法与既往朝鲜黑客行动高度吻合。Bitcoinist对此进行了专题报导。

这类国家级加密劫掠已演变为结构性风险。监管机构正收紧对朝鲜IT网络的围剿，更严厉的制裁措施或将出台。

国家级黑客攻击带来深层协议风险：更高的保险费用、潜在下架风险、赔偿方案治理纠纷，以及DeFi代币更长的风险厌恶周期。

封面图片来自Perplexity，BTCUSDT图表取自Tradingview。