2025 年 2 月 21 日 23 时，知名交易所 Bybit 的一个以太坊多签钱包被盗，丢失了 51.4 万枚以太坊，总价值 14.29 亿美元。被盗以后，甚至各方都找不到核心的问题所在，到底是如何做到：

- 精准锁定了每一位多签钱包的签署人； 

- 悄无声息地在每位签署人的设备上植入了恶意软件； 

- 让用户界面 (UI) 显示的交易信息与实际签署的交易内容截然不同

 - 神不知鬼不觉地让所有签署人在毫无察觉的情况下批准了交易

直到区块链安防团队慢雾公司经过前期的积累，以及对过去 30 天的深入分析调查，终于复盘了黑客的攻击手法和入侵路径。

他们确认了这是一场针对加密交易所的国家级 APT 攻击。最终锁定的作案嫌疑犯是，Lazarus Group。

善于突破历史新高的不仅有比特币，还有朝鲜黑客。

“APT”攻击，是指还没有被发现的网络攻击。常被用来长期窃取敏感数据，开展细作活动和破坏关键系统。

在 BYBIT 被盗案中，黑客在初始入侵时，利用社会工程学手段，诱骗 bybit 员工在本地设备执行包含有恶意木马的代码。

黑客通过恶意代码完全控制设备后，开始广泛感染，最终锁定钱包服务器实施盗窃。

在实施盗窃的过程中，代码技术并不见得有多创新。真正可怕的是，配合社会工程学的这一整套布局规划。

社会工程学这个词很多人想来是没有听过的。这是一种以收集信息、欺诈和入侵系统为目的的信任骗局。其核心是通过操纵人的心理，诱导其采取行动或者泄露机密。

在国内，这种方式被统称为“网络杀猪盘”。

针对 Bybit 的盗窃中，黑客就是伪装成投资人员，提供交易分析或量化代码，诱骗关键目标执行恶意程序。一旦恶意程序在设备上运行，它会建立持久化后门，并向攻击者提供远程访问权限。

这与当时 Axie 被盗的前期攻击如出一辙，是超越了传统黑客攻击的手法。即便是代码完美无缺，只要人类参与决策，社会工程学攻击就永远存在突破口，因为人性就是弱点。

最早检测到朝鲜黑客在链上活动的时间，是 2020 年。当时余弦的安全团队对发现朝鲜黑客渗透行业并没有过多的震惊。

但是，对于他们的作案手法非常叹服：他们往往都是社会工程学起手，攻破普通员工的设备后，逐渐击穿到核心人员电脑，摸到“保险箱钥匙”后实施盗窃，最后事了拂衣去。

不过大家都没有重视，这样一群鲨鱼跑进了加密行业，到底意味着什么。或者说，可能大家对于朝鲜这种老百姓连互联网都很难接触的国家，天然的没有太多的警惕心。

殊不知，在加密之外的网络世界，朝鲜的黑客早就臭名昭著了。

1990 年，朝鲜官方就有预谋地开启了网络军事化启蒙。彼时金日成综合大学成立了计算机学科系，从我们国家进口 386 计算机，秘密培养了第一批网络人才。

2004 年韩国情报局首次确认朝鲜存在「110 号实验室」存在（现 121 局前身）---- 这是一个伪装成开发电脑软件公司的黑客部队。

110 号实验室在酝酿 5 年后，于 2009 年发动了「7·7 DDoS 攻击」，瘫痪韩国政府 / 媒体网站 34 小时，首次展示网络战能力。

在取得长足的效果后，110 号实验室开始扩编成为「侦察总局第 121 局」，直属将军，编制约 6000 人。2013 年，121 局技术开始飞跃，建立了「平壤电子科技大学」黑客训练营。

再往后三年，朝鲜黑客达成了第一个顶级成就：攻破了 SWIFT 系统，从孟加拉央行顺走 8500 万美元。尝到甜头的朝鲜在 2017~2020 这几年中，直接让网络盗窃成为了外汇储备的核心来源。

联合国报告说：2019-2023 年朝鲜黑客偷了 30 亿美元。

其中，加密行业成了最大的肥肉。按照美国财政部数据，自 2021 年开始，针对加密领域的黑客攻击，有一半是来自朝鲜黑客组织。

其手法，跟余弦团队复盘一模一样。伪装招聘网站渗透团队，入侵开发工具，随后利用跨链桥漏洞。

整个 2023 年，朝鲜黑客的创收占据了朝鲜 GDP 的 7%。

朝鲜黑客的猖獗，与外派劳工制度密不可分。

按照朝鲜的外贸数据看，一年进出口加起来也不到 30 亿美元，99% 都是中朝贸易。

但是朝鲜出口中国的也不多，只有 4~5 亿美元。剩下的 20 多亿美元的逆差怎么填补？靠的是外派劳工。朝鲜每年向中国、俄罗斯、非洲等地输送大量的劳工，赚到的钱 70% 上交国家，自己留 30%。

这些外派人员中，IT 外派人员是创汇的主力军。2024 年，联合国的报告称，这些 IT 外派劳工每年为朝鲜创造了 6 亿美元的收入，接近总外汇收入的 20%。

这还没算额外的收入，众所周知，朝鲜黑客会通过秘密雇佣员工来攻击公司。CoinDesk 在 Bybit 被盗后，展开了不完全的行业调查，他们发现：

多家公司雇佣朝鲜 IT 工人后遭到黑客攻击。

当然，不是所有的外派劳工都是坏人，但出现了坏人，并且数量还不少以后，就没有信誉度了。所以包括美国在内，很多制裁朝鲜的国家都明确表示，雇佣朝鲜工人属于违法行为。

不过这都是国家组织了，自然会有绕过去的办法。

我接触到一些加密公司的朋友说，真的很难筛选，我们做背景调查，他们都能搞出一些东西证明身份，比如得克萨斯州的驾照，伪造的日本身份证等等。加上他们的技术确实不错，就雇佣了。

这些朝鲜 IT 人员大多数暴露的原因，都是因为有向 Kim Sang Man 和 Sim Hyon Sop 等受到 OFAC 制裁的朝鲜地址汇款。

你们猜，那些假证都是哪里来的呢？

一个强盗不可怕，一群强盗也不可怕。可怕的是一个国家都在培养强盗。东南亚已经被很多海外公司列为了禁区，尤其是区块链行业。

Bybit 勉强度过了这次被盗难关。过去一天因为被盗事件导致了超过 30 亿美元的资产被提走。靠着同行和鲸鱼的支撑才算勉强的扛过挤兑潮。

按照 Bybit 一年 20 亿美元的收入、6 亿美元的利润来看，这一波下来 2 年都白干了。或许得更久，毕竟交易平台最重要的是商誉，长远看，未来盈利能力还要下降的。

交易所都如此，我们散户该如何？

朝鲜黑客的技术手段并不算高超，但却在人性上出奇制胜。或者说，很多时候被盗都是源自欲望和懒惰。

我被黑客攻击过两次，一次是莫名点到关于空投信息的钓鱼链接。这次操作导致我所有在电脑上有记录的 Metamask 钱包私钥泄露，所以资产都被清空。最大的损失来自 arb------ 空投奖励我都还没来得及提现。

往后每次我钱包的空投奖励，我都只能看看，因为大概率那都不属于我，空投奖励发下来不到 1 分钟就会被清走。

第二次是来自 X，导致的结果是 X 被盗。我无数次的向马斯克申述，被盗账号连封都没封，看着他逍遥法外，还得忍受嘲讽 ------- 他还企图让我再给他几个私钥，来换回我的 X 账号...总之，很无力。

我想说的是，进入加密世界的玩家们，这里跟你们平常生活的环境不一样，有人给大家当保姆，一切都是靠自己。诚然，在加密世界中，你的资产属于你自己，但你得要有保护自己资产的能力，这里被欺负了是叫不来家长的。

严格来说，我们都是属于最底层。不是交易所可以收取交易费，也不是项目方在靠发币赚钱，更没有黑客的技术靠抢劫赚钱。

我们只能在这样混乱无序的地带，紧紧捏住私钥，小心谨慎的保护那些未来最确定的资产。

这里所有人都只有最低程度的善意，这里所有人都在想赚到更多的钱。不要妄图以散户之身参与这样残酷的博弈，最应该做的是囤好比特币，且不要让别人知道你的地址。

对了，关于保护自己链上资产方式，如果你还一头雾水，可以找我领一份《黑暗森林自救手册》。微信号：kongshen08

这里不仅有宝藏，还有无数陷阱，在进入之前，请先学会学习。

【做多区块链，做空全世界】