朝鲜窃取28亿美元加密货币为军事野心提供资金

朝鲜依靠拉撒路(Lazarus)等国家支持的黑客组织为其军事活动提供资金，被盗加密货币占其外汇收入近三分之一，形成不受传统制裁影响的稳定非法现金流。

• 自2024年以来，朝鲜已窃取至少28亿美元加密货币，这些资金占其外汇收入的近三分之一
• 国家支持的黑客组织通过高级供应链攻击和社会工程学手段针对交易所和托管服务商
• 被盗资产通过混币器、跨链桥和中国场外经纪商洗白，最终转换为法定货币用于武器和导弹计划

多边制裁监测小组在10月22日的报告中指出，2024年1月至2025年9月期间，朝鲜通过国家支持的黑客组织及针对数字资产领域的网络行为者，策划了总额至少28亿美元的加密货币盗窃案。

大部分赃款来自重大事件，包括2025年2月Bybit遭入侵事件——仅该事件就占被盗总额的近半数。报告将这些攻击归因于朝鲜惯用的威胁行为者，其采用精密的供应链攻击、社会工程学及钱包入侵手段。

朝鲜精密布局的盗窃与规避体系

朝鲜的加密货币行动围绕国家关联黑客组织构成的严密生态展开，主力包括拉撒路、Kimsuky、TraderTraitor和Andariel——过去两年几乎所有重大数字资产失窃案中都可见其踪迹。

网络安全分析师指出，这些团队隶属朝鲜主要情报机构侦察总局，能发动堪比私营企业效率的协同攻击。其核心创新在于完全绕过交易所，转而攻击交易所用于安全存储的第三方数字资产托管服务商。

通过入侵Safe(Wallet)、Ginco和Liminal Custody等公司的基础设施，朝鲜黑客获得了从Bybit、日本DMM Bitcoin和印度WazirX等交易所客户处窃取资金的"万能钥匙"。

导致DMM Bitcoin损失3.08亿美元并最终倒闭的攻击，始于数月前TraderTraitor成员在LinkedIn伪装招聘人员，诱骗Ginco员工打开伪装成面试测试的恶意文件。

其他国家支持的组织协同配合主力行动。CryptoCore团伙虽技术稍逊，但擅长高频社会工程攻击，通过假扮招聘者和高管渗透目标。

Citrine Sleet则以部署木马化加密货币交易软件闻名。2024年10月的一起事件中，该组织成员在Telegram冒充可信赖的前合作方，向Radiant Capital开发者发送恶意ZIP文件，最终导致5000万美元被盗。

洗钱路径直指朝鲜

数字资产被盗后将进入包含九个步骤的复杂洗钱流程，最终转化为可用法币。朝鲜网络行为者会系统性地将被盗代币兑换为以太坊或比特币等主流加密货币，继而使用Tornado Cash、Wasabi Wallet等混币服务。

随后通过THORChain、LI.FI等跨链桥和聚合器进行链间转移，常将混淆后的资产转换为基于波场的USDT以便套现。调查人员表示，整个操作依赖以中国为主的场外经纪商网络——他们接收洗白后的USDT，并通过中国银联卡将等值法币存入朝鲜控制的银行账户。

这场猖獗的数字盗窃行动已造成严重的现实影响。从加密生态抽走的数十亿美元并未消失在官僚黑洞中。MSMT报告指出，这笔收入对朝鲜采购大规模杀伤性武器和弹道导弹计划的材料设备至关重要。

全球加密货币行业因提供不受传统金融制裁约束的巨额非法现金流，已被武器化为平壤军事野心的"非自愿资助方"。这些盗窃不仅是牟利犯罪，更是国家政策行为——其资助的军事建设正威胁全球安全。