北韩黑客已经成为币圈最大的噩梦。最近看到 TRM Labs 的报告，数据让我有点发毛——今年才过 4 个月，北韩黑客组织就在币圈掠夺了约 5.77 亿美元，占全球同期被盗资金的 76%。这个比例真的惊人。

损失主要来自 4 月爆发的两大事件。Kelp DAO 被掏空了 2.92 亿美元，Drift Protocol 则被盗走 2.85 亿美元。有意思的是，这两起案件只占今年前 4 个月总攻击次数的 3%，却包办了绝大多数的损失。这说明北韩黑客已经从「乱枪打鸟」升级到精准狙击了。

Kelp DAO 那边是恶名昭彰的 TraderTraitor 干的，跟拉撒路集团关系密切。而 Drift 则是另一个尚未完全曝光的北韩黑客小组所为。

说起 Drift 的攻击，我觉得最恐怖的地方在于它根本不是啥突袭。TRM 揭露这是历时数月的精密渗透行动。北韩代理人通过多次线下会面接触 Drift 团队，从 3 月 11 日起开始部署准备，在 Solana 上建立持久 nonce 账户用于预先签署交易，还诱导 Drift 安全部门的多重签章成员预先授权。致命一击发生在 4 月 1 日，就在 Drift 调整了安全委员会权限门槛并取消了时间锁短短几天后，黑客在 12 分钟内触发 31 笔预先签名的提款指令，直接掏空资金。这种社交工程配合技术操弄的组合拳，防不胜防。

Kelp DAO 的遭遇则是另一种套路。黑客看准了跨链通讯协议 LayerZero 桥接器中「单一验证者」的架构缺陷，入侵了 RPC 基础设施篡改验证逻辑。在迫使系统将验证权限转移至受控节点后，超过 11.6 万枚 rsETH 被洗劫一空。即便 Arbitrum 官方紧急冻结了部分资产，黑客还是迅速通过 THORChain 等跨链流动性协议将资金转出。

更令人不安的是趋势。北韩黑客占全球加密货币失窃总额的比例在飙升——从 2020 年、2021 年不到 10%，一路攀升到 2022 年的 22%、2023 年的 37%、2024 年的 39%，再到 2025 年的 64%，今年更是冲上了 76% 的历史新高。自 2017 年以来，北韩黑客窃取的加密货币累计已突破 60 亿美元。

TRM 指出，2025 年某大型交易所遭黑 14.6 亿美元那个世纪大案，成了北韩黑客作案模式的转折点。之后他们改变了战术，不再乱枪打鸟，而是锁定高价值目标，专门攻击跨链桥、多签治理系统等关键基础设施，务求一击必杀。

有意思的是，Drift 和 Kelp DAO 两案也反映了北韩洗钱手法的分化。Drift 案的黑客极具耐心，资金转入以太坊后就一直按兵不动，可能打算将资金「雪藏」数月甚至数年，待风头过去后再套现。反观 Kelp DAO 案的黑客则讲求速战速决，迅速通过 THORChain 兑换成比特币，然后交由地下洗钱中介处理。

面对这种日益猖獗的威胁，TRM 呼吁各大平台应立即提升合规监控。防御重点包括严密监控经由 THORChain 流出的跨链资金、强化跨链桥基础设施的多跳交易追踪，以及严格筛查 Solana 治理相关的存款路径，尤其是涉及持久 nonce 机制的交易。此外，业界应该积极加入 Beacon Network 等跨平台联防机制，一旦锁定北韩黑客的钱包地址，便能迅速触发跨平台联合警报，彻底斩断洗钱资金流。这场攻防战远未结束，币圈的噩梦还在继续。