ازدياد كبير في سرقة العملات من قبل قراصنة كوريا الشمالية بنسبة 51%! دورة غسيل الأموال تستغرق 45 يومًا، وبلغ إجمالي السرقة 6.75 مليار دولار أمريكي

北韓黑客 2025 年竊取 20.2 億美元加密貨幣（增 51%），累計達 67.5 億美元。攻擊次數減 74% 但規模暴增，CEX 15 億占全年近半。偏愛中文洗錢服務（增 355%）、跨鏈橋和混幣協議，洗錢周期約 45 天分三階段完成。

北韓黑客攻擊次數減少 74%，盜金卻增 51%

2025 年北韓黑客創下加密貨幣盜竊記錄，竊取至少 20.2 億美元，比 2024 年多 6.81 億美元，同比增長 51%。這是北韓加密貨幣盜竊案有記錄以來最嚴重的一年，北韓發起的攻擊占所有入侵事件被盜金額的 76%，創下歷史新高。總體而言，北韓竊取加密貨幣的累計總額最低估值達到 67.5 億美元。

更令人震驚的是，這個創紀錄的損失來自已知攻擊事件的大幅減少。北韓黑客以更少的攻擊次數竊取了更多加密貨幣，攻擊次數減少約 74%，但平均單次攻擊規模暴增。這種轉變反映了 2025 年 2 月 Bybit 大規模黑客攻擊事件的影響，該事件損失高達 15 億美元，占北韓全年盜竊金額的 74%。

前三大黑客攻擊造成的損失占總損失的 69%，極端值達到中位數的 1,000 倍。2025 年，最大規模攻擊中被盜的資金是普通事件中被盜資金的 1,000 倍，甚至超過了 2021 年牛市的峰值。這種日益擴大的差距使損失高度集中，單個事件對年度總損失的影響異常顯著。

北韓黑客越來越多地通過將 IT 人員安插進加密服務內部以獲取特權訪問權限並實施重大攻擊。今年創紀錄的攻擊事件在一定程度上可能反映出，北韓更多地依賴 IT 人員在交易平台、托管機構和 Web3 公司中的滲透，這可以加快初始訪問和橫向移動，從而為大規模盜竊創造條件。

然而，最近與北韓有關聯的黑客組織徹底顛覆了這種 IT 工作者模式。他們不再只是申請職位並以員工身份潛入，而是越來越多地冒充知名 Web3 和 AI 公司的招聘人員，精心策劃虛假的招聘流程，最終以「技術篩選」為幌子，獲取受害者的登錄憑證、源代碼以及其當前雇主的 VPN 或單點登錄（SSO）訪問權限。

45 天洗錢三階段與中文服務偏好

對 2022 至 2025 年間歸因於北韓的黑客事件後鏈上活動的分析顯示，盜竊資金遵循一個結構化、多階段的洗錢路徑，這一過程大約持續 45 天。這種持續多年的模式表明，北韓黑客面臨著操作上的限制，這可能與他們獲取金融基礎設施的渠道有限以及需要與特定中間人協調有關。

北韓黑客 45 天洗錢三階段

第 0-5 天（立即分層）：DeFi 協議流動量增 370%，混幣服務增 135-150%，緊急與盜竊劃清界限

第 6-10 天（初步整合）：無 KYC 交易平台增 37%，CEX 增 32%，跨鏈橋增 141%，資金流向退出渠道

第 20-45 天（長尾整合）：無 KYC 平台增 82%，擔保服務增 87%，中文平台增 45%，完成法幣兌換

與其他黑客相比，北韓在某些洗錢環節表現出明顯的偏好。北韓黑客往往傾向於中文資金轉移和擔保服務（增幅 355% 至 1000% 以上），這是最鮮明的特點，嚴重依賴中文擔保服務以及由眾多可能合規控制較弱的洗錢運營商組成的洗錢網絡。跨鏈橋服務使用率增 97%，高度依賴跨鏈橋在不同區塊鏈之間轉移資產，試圖增加追蹤難度。混幣服務使用率增 100%，更多使用混幣服務來試圖掩蓋資金流動。

相反，北韓黑客明顯避免使用借貸協議（-80%）、無 KYC 交易平台（-75%，令人驚訝地低於其他黑客）、P2P 交易平台（-64%）和 DEX（-42%）。這些模式表明，北韓的運作受到不同於非國家支持網絡犯罪分子的約束和目標的影響。他們大量使用專業的中文洗錢服務和場外交易商，這表明北韓黑客與亞太地區的非法行為者緊密聯系。

這種通常為 45 天的洗錢操作窗口為執法和合規團隊提供了關鍵情報。了解這個時間框架和階段性模式，可以幫助交易所和安全公司在資金尚未完全洗白前實施凍結和追回措施。