作者：劉紅林律師

最近半年多的加密貨幣產業，冷清的彷彿退潮後的海邊。

人還是有人，專案也還在，但以前那種隔三差五就有新專案出來講故事、到處都是融資消息、群里天天都有人喊著要上車的感覺，少了很多。

留下來的團隊，嘴上當然也會講願景、講長期，但私下裡聊得更多的，往往還是很樸素的事情：賬上還有多少錢，成本怎麼再壓一壓，團隊怎麼先穩住熬過熊市的冬天。

但熊市對專案方最狠的地方，有時候還不只是幣價跌了，也不只是融資難了，而是本不寬裕的家庭遇上雪上加霜，例如資產被偷。

牛市裡被偷，是肉疼；熊市裡被偷，是真的要命。

一、Drift 被偷2.85 億美元

這次出事被竊的是Drift，2026 年開年至今最大規模的DeFi 攻擊之一，失竊金額約2.85 億美元。

熟悉Solana 生態的人，對這個名字大多不陌生。它本身就是個去中心化交易平台，主打永續合約交易，也涵蓋現貨、借貸和保險庫這些業務。官方資料稱它為Solana 上最大的開源永續合約去中心化交易平台之一。

根據公開披露的信息，攻擊發生於2026 年4 月1 日，但前面可能鋪了整整六個月。 2025 年秋天，一群自稱量化交易團隊的人，在大型產業會議上接觸了Drift 的工作人員。後面拉群、開會、聊策略、聊業務接入，流程都很正常，更關鍵的是，對方不只說，還真往生態保險庫裡放了超過100 萬美元自有資金。誰成想，這竟然是放長線釣大魚。

如果只看Drift，這件事最多算另一場頭部項目安全事故。但如果把它放回過去幾年產業裡發生的那些大案裡看，事情就不是這個味道了。

多個案件繞來繞去，最後還是會繞回北韓。

二、北韓駭客戰績

2025 年2 月，FBI 公開表示Bybit 大約15 億美元的虛擬資產失竊，由北韓實施，歸在其所謂的"TraderTraitor"行動之下。

2025 年底，Chainalysis 又給出年度數據，朝鮮相關駭客在2025 年至少盜取了20.2 億美元加密資產，同比增長51%，歷史累計下限達到67.5 億美元，而且呈現出一個很明顯的特點：朝鮮的獵殺次數變少了，但單筆越來越大。

北韓不是最近因為Bybit 或Drift 才突然冒出來的名字，它這些年一直都在，而且在加密行業裡的存在感，並不是越來越弱，而是越來越重。

再往前看，北韓的盜錢戰績也是屢見不鮮。

路透社在2024 年引述聯合國制裁專家資料稱，聯合國方面調查了2017 年到2024 年間97 起涉嫌由北韓發起、針對加密貨幣公司的網路攻擊，涉及金額約36 億美元。

南韓警方在2024 年11 月也公開表示，2019 年一筆約4,200 萬美元的以太坊竊案，背後與北韓軍方情報系統關聯的駭客組織有關。

Drift 這次還有一個細節，在相關安全團隊支持下，現階段對這次行動與2024 年10 月Radiant Capital 攻擊背後都指向了北韓。

放在一起看，這就不是幾個互不相干的案子，而是同一類人，在不同項目、不同時期、不同場景裡，反覆使用一套已經打磨得相當成熟的打法。

三、北韓駭客的收割體系

說到這裡，文章真正想和大家聊的，不是"朝鮮最近又偷了多少錢"，而是另一件更值得行業從業者註意的事：過去幾年，大家聊加密行業，注意力都放在香港、美國、迪拜，放在牌照、ETF、穩定幣、公鏈、支付、RWA、託管這些明面上的敘事上。

但另一個更硬的現實線索是，最持續、最有系統、最有組織地從這個行業拿走真金白銀的，恰恰是北韓。

很多人一提北韓在加密產業的存在，第一反應還是那幾個老印象：駭客組織、盜幣、洗錢。這些詞當然沒錯，但現在看，可能還是低估了它。

因為它做的事情，早就不只是"黑幾個項目"這麼簡單。更精確一點說，它已經越來越像圍繞著加密產業，跑出了一套完整的收割體系。

第一層：大額盜幣

攻擊交易所、跨鏈橋、錢包、協議，把資產直接拿走。 Bybit 是最醒目的例子，15 億美元這個量級，已經不是普通意義上的產業事故了。

Chainalysis 2025 年的報告也提到，北韓相關攻擊在當年占到所有服務型平台被竊事件的76%，而前幾大案件佔去了絕大部分損失。這顯示它不是廣撒網的小偷，而是越來越會集中資源、挑選目標、捕大魚。

第二層：偽裝滲透

接近專案方，經營關係，偽裝成產業內部看起來很正常的角色。 Drift 這次就很典型。對方不是突然冒出來的陌生帳號，而是在活動上見過、在群組裡聊過、在業務上對過很多細節的人。

路透的報導也提到，北韓駭客越來越多地透過偽造工作機會滲透加密產業。假招聘方、假公司網站、假技術測試、假面試流程，這些東西可怕的地方，不在於花樣多新，而在於它們都貼著行業真實的工作流長出來。

第三層：遠程臥底

美國司法部在2025 年6 月公佈的案件顯示，北韓相關遠端資訊技術人員利用盜用或偽造身份，在100 多家美國公司找到遠距工作；整個連結背後，還有假網站、前台公司、電腦中轉點、洗錢帳戶等配套結構。

FBI 公佈的通緝資訊還顯示，其中有人利用遠端崗位的權限，從兩家公司盜走了價值超過90 萬美元的虛擬貨幣。到了這個層面，風險已經不是"外部攻擊"了，而是"人已經進了屋子"。只要人能進來，招募、設備、程式碼倉庫權限、財務流程、終端管理，這些原來看起來很瑣碎的事，都會變成裡應外合的安全攻擊和資產掠奪。

第四層：洗錢變現

最後一層，是後端的洗錢和資金處理能力。路透社2024 年引述聯合國制裁專家資料稱，北韓在2024 年3 月透過混幣工具處理了1.475 億美元先前從相關案件中盜得的資產；同一報道還提到，聯合國方面認為這類網路攻擊與獲取資金、規避制裁、支持其武器項目有關。

北韓不是"偷完就結束"，它後面還有一整套拆分、跳轉、清洗、再變現的能力。

四、為什麼是加密產業

很多正經專案方牛熊一輪就沒了，團隊散了，產品停了，幣價歸零。朝鮮不是。它沒有發布會，沒有路線圖，也沒有品牌敘事，但它每年都在穩定地從這個行業拿錢，而且方法越來越成熟。

北韓會長期盯著加密產業，不是因為它對這些新概念有多大興趣，而是因為這個產業對它來說確實好用。

第一，是資金更容易被盜用。傳統金融體系裡很多錢，它碰不到，或是碰起來成本太高。銀行、清算、跨國監管、制裁名單，每一層都是門檻。但在鏈上世界，只要前端能找到入口，後面的分割、跨鏈、再分發空間就大得多。一旦被竊資產進入鏈上體系，後面的處理空間和難度，就跟傳統金融不是一回事。

第二，是組織更容易滲透。加密產業天然全球化、遠端化、輕組織。大家靠社群軟體、視訊會議、程式碼平台、文件工具、測試分送工具，把合作、開發、融資、營運、存取、做市全跑起來。平常看，這是效率；換個角度看，這就是攻擊面。

五、加密從業人員的應對指南

對許多加密項目方來說，這不是國際政治的遠消息，而是這個產業今天最現實的經營風險之一。這不是抽象的安全提醒，而是很現實的經營問題。

1. 員工招募與遠距管理

美國司法部和FBI 已經把風險講得很具體了：朝鮮相關資訊技術人員會用盜用或偽造身份，在美國公司找遠端崗位，並透過美國境內的電腦中轉點接收公司寄出的設備，再以遠端方式接入公司網路。對加密產業創業團隊來說，凡是接觸程式碼倉庫、生產環境、錢包、部署流程、財務後台、身分認證資料的職位，都不能再只看履歷和交付結果。

至少要做三件事：

第一，身分核驗要交叉做，不能只看職業社交平台、視訊面試​​和一張護照照片。

第二，敏感職位必須使用可控設備，不能長期默許用純個人電腦處理核心業務。

第三，權限要預設最小化，尤其是試用期員工、外包人員、合約工，不要一上來就給太多入口，再想著後面慢慢收。

2. 合作夥伴身分核實

Drift 這次給業界最大的提醒之一，就是線下見過面、線上聊得順、問題問得專業、甚至真的投了錢，這些都不能再自動默認為可信。

更務實一點的做法是：核驗不能只停留在名片、官網和社群媒體，要去看公司註冊資訊、歷史專案痕跡、真實團隊成員、共同熟人回饋，必要時要求對方提供可驗證的機構資料。接觸越久，合作越深，該做的風控可一點都別少。

3. 安全審計要升級

許多團隊現在一提安全審計，想到的還是智慧合約審計、錢包管理、多簽配置、鏈上監控。這些當然都要做，但已經不夠了。

今天更該關注的是"人的工作流程"。誰可以下載外部程式碼倉庫，誰接觸過多簽相關設備，誰能進入生產環境，誰能觸發財務審批，誰的終端碰過核心權限。這些問題，很多團隊平時並沒有系統盤過。

比較務實的做法是，每季至少做一次權限和終端審計：先盤點誰能碰多簽、誰能看核心代碼倉庫、誰能進生產環境、誰有財務審批權限，再把相關設備做隔離和風險檢查。 Drift 自己在更新裡也提醒：檢查團隊，審計誰有權限訪問什麼，並把每一台接觸過多籤的設備都視為潛在目標。

4. 安全預算是經營成本

很多小團隊最容易省的，就是審計、風控、流程設計、終端機管理這些錢，覺得貴，覺得慢，覺得影響業務推進。可朝鮮相關攻擊這幾年的特點，恰恰是願意花很長時間、不低成本來換一次高回報。這對於掌控大量客戶資產的加密產業從業者，應該是一次高聲亮的提醒。

加密貨幣產業發展到今天，大家總喜歡問一個問題：它到底改變了什麼。

有人會說，它改變了支付；有人會說，它改變了資產發行；有人會說，它改變了全球資本流動的方式。

但如果把北韓這條線也放進來看，你會發現，它至少已經改變了一件事：它讓一個原本在傳統金融體系裡處處受限的國家，第一次找到了一套可以長期運轉、跨境流動、持續拿錢的工具。

只是，它用了一種最直接，也最不體面的方式。