最近半年多的加密貨幣行業(yè)，冷清的仿佛退潮后的海邊。

人還是有人，項(xiàng)目也還在，但以前那種隔三差五就有新項(xiàng)目出來講故事、到處都是融資消息、群里天天都有人喊著要上車的感覺，少了很多。

留下來的團(tuán)隊(duì)，嘴上當(dāng)然也會(huì)講愿景、講長(zhǎng)期，但私下里聊得更多的，往往還是很樸素的事情：賬上還有多少錢，成本怎么再壓一壓，團(tuán)隊(duì)怎么先穩(wěn)住熬過熊市的冬天。

但熊市對(duì)項(xiàng)目方最狠的地方，有時(shí)候還不只是幣價(jià)跌了，也不只是融資難了，而是本不寬裕的家庭遇上雪上加霜，比如資產(chǎn)被盜。

牛市里被偷，是肉疼；熊市里被偷，是真的要命。

一、Drift 被盜 2.85 億美元

這次出事被盜的是 Drift，2026 年開年至今最大規(guī)模的 DeFi 攻擊之一，失竊金額約 2.85 億美元。

熟悉 Solana 生態(tài)的人，對(duì)這個(gè)名字大多不陌生。它本身是個(gè)去中心化交易平臺(tái)，主打永續(xù)合約交易，也覆蓋現(xiàn)貨、借貸和保險(xiǎn)庫這些業(yè)務(wù)。官方資料把它稱為 Solana 上最大的開源永續(xù)合約去中心化交易平臺(tái)之一。

按公開披露的信息，攻擊發(fā)生于 2026 年 4 月 1 日，但前面可能鋪了整整六個(gè)月。2025 年秋天，一群自稱量化交易團(tuán)隊(duì)的人，在大型行業(yè)會(huì)議上接觸了 Drift 的工作人員。后面拉群、開會(huì)、聊策略、聊業(yè)務(wù)接入，流程都很正常，更關(guān)鍵的是，對(duì)方不只說，還真往生態(tài)保險(xiǎn)庫里放了超過 100 萬美元自有資金。誰成想，這竟然是放長(zhǎng)線釣大魚。

如果只看 Drift，這件事最多算又一場(chǎng)頭部項(xiàng)目安全事故。但如果把它放回過去幾年行業(yè)里發(fā)生的那些大案里看，事情就不是這個(gè)味道了。

多個(gè)案件繞來繞去，最后還是會(huì)繞回朝鮮。

二、朝鮮黑客戰(zhàn)績(jī)

2025 年 2 月，F(xiàn)BI 公開表示 Bybit 大約 15 億美元的虛擬資產(chǎn)失竊，由朝鮮實(shí)施，歸在其所謂的"TraderTraitor"行動(dòng)之下。

2025 年底，Chainalysis 又給出年度數(shù)據(jù)，朝鮮相關(guān)黑客在 2025 年至少盜取了 20.2 億美元加密資產(chǎn)，同比增長(zhǎng) 51%，歷史累計(jì)下限達(dá)到 67.5 億美元，而且呈現(xiàn)出一個(gè)很明顯的特點(diǎn)：朝鮮的獵殺次數(shù)變少了，但單筆越來越大。

朝鮮不是最近因?yàn)?Bybit 或 Drift 才突然冒出來的名字，它這些年一直都在，而且在加密行業(yè)里的存在感，并不是越來越弱，而是越來越重。

再往前看，朝鮮的盜幣戰(zhàn)績(jī)也是屢見不鮮。

路透在 2024 年援引聯(lián)合國(guó)制裁專家材料稱，聯(lián)合國(guó)方面調(diào)查了 2017 年到 2024 年間 97 起涉嫌由朝鮮發(fā)起、針對(duì)加密貨幣公司的網(wǎng)絡(luò)攻擊，涉及金額約 36 億美元。

韓國(guó)警方在 2024 年 11 月也公開表示，2019 年一筆約 4200 萬美元的以太坊盜竊案，背后與朝鮮軍方情報(bào)系統(tǒng)關(guān)聯(lián)的黑客組織有關(guān)。

Drift 這次還有一個(gè)細(xì)節(jié)，在相關(guān)安全團(tuán)隊(duì)支持下，現(xiàn)階段對(duì)這次行動(dòng)與 2024 年 10 月 Radiant Capital 攻擊背后都指向了朝鮮。

放在一起看，這就不是幾個(gè)互不相干的案子，而是同一類人，在不同項(xiàng)目、不同時(shí)期、不同場(chǎng)景里，反復(fù)使用一套已經(jīng)打磨得相當(dāng)成熟的打法。

三、朝鮮黑客的收割體系

說到這里，文章真正想和大家聊的，不是"朝鮮最近又偷了多少錢"，而是另一件更值得行業(yè)從業(yè)者注意的事：過去幾年，大家聊加密行業(yè)，注意力都放在香港、美國(guó)、迪拜，放在牌照、ETF、穩(wěn)定幣、公鏈、支付、RWA、托管這些明面上的敘事上。

可另一條更硬的現(xiàn)實(shí)線索是，最持續(xù)、最系統(tǒng)、最有組織地從這個(gè)行業(yè)里拿走真金白銀的，恰恰是朝鮮。

很多人一提朝鮮在加密行業(yè)里的存在，第一反應(yīng)還是那幾個(gè)老印象：黑客組織、盜幣、洗錢。這些詞當(dāng)然沒錯(cuò)，但現(xiàn)在看，可能還是低估了它。

因?yàn)樗龅氖虑椋缇筒恢皇?黑幾個(gè)項(xiàng)目"這么簡(jiǎn)單。更準(zhǔn)確一點(diǎn)說，它已經(jīng)越來越像圍繞加密行業(yè)，跑出了一套完整的收割體系。

第一層：大額盜幣

攻擊交易所、跨鏈橋、錢包、協(xié)議，把資產(chǎn)直接拿走。Bybit 是最醒目的例子，15 億美元這個(gè)量級(jí)，已經(jīng)不是普通意義上的行業(yè)事故了。

Chainalysis 2025 年的報(bào)告還提到，朝鮮相關(guān)攻擊在當(dāng)年占到所有服務(wù)型平臺(tái)被盜事件的 76%，而前幾大案件占去了絕大部分損失。這說明它不是廣撒網(wǎng)的小偷，而是越來越會(huì)集中資源、挑選目標(biāo)、捕大魚。

第二層：偽裝滲透

接近項(xiàng)目方，經(jīng)營(yíng)關(guān)系，偽裝成行業(yè)內(nèi)部看起來很正常的角色。Drift 這次就很典型。對(duì)方不是突然冒出來的陌生賬號(hào)，而是在活動(dòng)上見過、在群里聊過、在業(yè)務(wù)上對(duì)過很多細(xì)節(jié)的人。

路透的報(bào)道也提到，朝鮮黑客越來越多地通過偽造工作機(jī)會(huì)滲透加密行業(yè)。假招聘方、假公司網(wǎng)站、假技術(shù)測(cè)試、假面試流程，這些東西可怕的地方，不在于花樣多新，而在于它們都貼著行業(yè)真實(shí)的工作流長(zhǎng)出來。

第三層：遠(yuǎn)程臥底

美國(guó)司法部在 2025 年 6 月公布的案件顯示，朝鮮相關(guān)遠(yuǎn)程信息技術(shù)人員利用盜用或偽造身份，在 100 多家美國(guó)公司找到遠(yuǎn)程工作；整條鏈路背后，還有假網(wǎng)站、前臺(tái)公司、電腦中轉(zhuǎn)點(diǎn)、洗錢賬戶等配套結(jié)構(gòu)。

FBI 公布的通緝信息還顯示，其中有人利用遠(yuǎn)程崗位的權(quán)限，從兩家公司盜走了價(jià)值超過 90 萬美元的虛擬貨幣。到了這個(gè)層面，風(fēng)險(xiǎn)已經(jīng)不是"外部攻擊"了，而是"人已經(jīng)進(jìn)了屋子"。只要人能進(jìn)來，招聘、設(shè)備、代碼倉庫權(quán)限、財(cái)務(wù)流程、終端管理，這些原來看起來很瑣碎的事，都會(huì)變成里應(yīng)外合的安全攻擊和資產(chǎn)掠奪。

第四層：洗錢變現(xiàn)

最后一層，是后端的洗錢和資金處理能力。路透 2024 年援引聯(lián)合國(guó)制裁專家材料稱，朝鮮在 2024 年 3 月通過混幣工具處理了 1.475 億美元此前從相關(guān)案件中盜得的資產(chǎn)；同一報(bào)道還提到，聯(lián)合國(guó)方面認(rèn)為這類網(wǎng)絡(luò)攻擊與獲取資金、規(guī)避制裁、支持其武器項(xiàng)目有關(guān)。

朝鮮不是"偷完就結(jié)束"，它后面還有一整套拆分、跳轉(zhuǎn)、清洗、再變現(xiàn)的能力。

四、為什么是加密行業(yè)

很多正經(jīng)項(xiàng)目方牛熊一輪就沒了，團(tuán)隊(duì)散了，產(chǎn)品停了，幣價(jià)歸零。朝鮮不是。它沒有發(fā)布會(huì)，沒有路線圖，也沒有品牌敘事，但它每年都在穩(wěn)定地從這個(gè)行業(yè)里拿錢，而且方法越來越成熟。

朝鮮會(huì)長(zhǎng)期盯著加密行業(yè)，不是因?yàn)樗鼘?duì)這些新概念有多大興趣，而是因?yàn)檫@個(gè)行業(yè)對(duì)它來說確實(shí)好用。

第一，是資金更容易盜用。 傳統(tǒng)金融體系里很多錢，它碰不到，或者碰起來成本太高。銀行、清算、跨境監(jiān)管、制裁名單，每一層都是門檻。可在鏈上世界，只要前端能找到入口，后面的拆分、跨鏈、再分發(fā)空間就大得多。一旦被盜資產(chǎn)進(jìn)入鏈上體系，后面的處理空間和難度，就和傳統(tǒng)金融不是一回事。

第二，是組織更容易滲透。 加密行業(yè)天然全球化、遠(yuǎn)程化、輕組織。大家靠社交軟件、視頻會(huì)議、代碼平臺(tái)、文檔工具、測(cè)試分發(fā)工具，把合作、開發(fā)、融資、運(yùn)營(yíng)、接入、做市全跑起來。平時(shí)看，這是效率；換個(gè)角度看，這就是攻擊面。

五、加密從業(yè)者的應(yīng)對(duì)指南

對(duì)很多加密項(xiàng)目方來說，這不是國(guó)際政治的遠(yuǎn)消息，而是這個(gè)行業(yè)今天最現(xiàn)實(shí)的經(jīng)營(yíng)風(fēng)險(xiǎn)之一。這不是一個(gè)抽象的安全提醒，而是一個(gè)很現(xiàn)實(shí)的經(jīng)營(yíng)問題。

1. 員工招聘和遠(yuǎn)程管理

美國(guó)司法部和 FBI 已經(jīng)把風(fēng)險(xiǎn)講得很具體了：朝鮮相關(guān)信息技術(shù)人員會(huì)用盜用或偽造身份，在美國(guó)公司找遠(yuǎn)程崗位，并通過美國(guó)境內(nèi)的電腦中轉(zhuǎn)點(diǎn)接收公司寄出的設(shè)備，再以遠(yuǎn)程方式接入公司網(wǎng)絡(luò)。對(duì)加密行業(yè)創(chuàng)業(yè)團(tuán)隊(duì)來說，凡是接觸代碼倉庫、生產(chǎn)環(huán)境、錢包、部署流程、財(cái)務(wù)后臺(tái)、身份認(rèn)證數(shù)據(jù)的崗位，都不能再只看簡(jiǎn)歷和交付結(jié)果。

至少要做三件事：

第一，身份核驗(yàn)要交叉做，不能只看職業(yè)社交平臺(tái)、視頻面試和一張護(hù)照照片。

第二，敏感崗位必須使用可控設(shè)備，不能長(zhǎng)期默許用純個(gè)人電腦處理核心業(yè)務(wù)。

第三，權(quán)限要默認(rèn)最小化，尤其是試用期員工、外包人員、合同工，不要一上來就給太多入口，再想著后面慢慢收。

2. 合作伙伴身份核實(shí)

Drift 這次給行業(yè)最大的提醒之一，就是線下見過面、線上聊得順、問題問得專業(yè)、甚至真的投了錢，這些都不能再自動(dòng)默認(rèn)為可信。

更務(wù)實(shí)一點(diǎn)的做法是：核驗(yàn)不能只停留在名片、官網(wǎng)和社交媒體，要去看公司注冊(cè)信息、歷史項(xiàng)目痕跡、真實(shí)團(tuán)隊(duì)成員、共同熟人反饋，必要時(shí)要求對(duì)方提供可驗(yàn)證的機(jī)構(gòu)材料。接觸越久，合作越深，該做的風(fēng)控可一點(diǎn)都別少。

3. 安全審計(jì)要升級(jí)

很多團(tuán)隊(duì)現(xiàn)在一提安全審計(jì)，想到的還是智能合約審計(jì)、錢包管理、多簽配置、鏈上監(jiān)控。這些當(dāng)然都要做，但已經(jīng)不夠了。

今天更該關(guān)注的是"人的工作流"。誰可以下載外部代碼倉庫，誰接觸過多簽相關(guān)設(shè)備，誰能進(jìn)入生產(chǎn)環(huán)境，誰能觸發(fā)財(cái)務(wù)審批，誰的終端碰過核心權(quán)限。這些問題，很多團(tuán)隊(duì)平時(shí)并沒有系統(tǒng)盤過。

比較務(wù)實(shí)的做法是，每季度至少做一次權(quán)限和終端審計(jì)：先盤點(diǎn)誰能碰多簽、誰能看核心代碼倉庫、誰能進(jìn)生產(chǎn)環(huán)境、誰有財(cái)務(wù)審批權(quán)限，再把相關(guān)設(shè)備做隔離和風(fēng)險(xiǎn)檢查。 Drift 自己在更新里也提醒：檢查團(tuán)隊(duì)，審計(jì)誰有權(quán)限訪問什么，并把每一臺(tái)接觸過多簽的設(shè)備都視為潛在目標(biāo)。

4. 安全預(yù)算是經(jīng)營(yíng)成本

很多小團(tuán)隊(duì)最容易省的，就是審計(jì)、風(fēng)控、流程設(shè)計(jì)、終端管理這些錢，覺得貴，覺得慢，覺得影響業(yè)務(wù)推進(jìn)。可朝鮮相關(guān)攻擊這幾年的特點(diǎn)，恰恰是愿意花很長(zhǎng)時(shí)間和不低成本來換一次高回報(bào)。這對(duì)于掌控大量客戶資產(chǎn)的加密行業(yè)從業(yè)者，應(yīng)該是一次高聲亮的提醒。

加密貨幣行業(yè)發(fā)展到今天，大家總喜歡問一個(gè)問題：它到底改變了什么。

有人會(huì)說，它改變了支付；有人會(huì)說，它改變了資產(chǎn)發(fā)行；有人會(huì)說，它改變了全球資本流動(dòng)的方式。

可如果把朝鮮這條線也放進(jìn)來看，你會(huì)發(fā)現(xiàn)，它至少已經(jīng)改變了一件事：它讓一個(gè)原本在傳統(tǒng)金融體系里處處受限的國(guó)家，第一次找到了一套可以長(zhǎng)期運(yùn)轉(zhuǎn)、跨境流動(dòng)、持續(xù)拿錢的工具。

只是，它用了一種最直接，也最不體面的方式。

本文作者