到 2025 年,加密货币盗窃已从简单的“地毯式骗局”和机会主义诈骗演变为复杂的、由国家支持的行动,目标直指主要交易所和关键基础设施。仅在 2025 年上半年,就有超过 21.7 亿美元被盗,这一数字还在逐月上升。
仅在 9 月,20 起与加密货币相关的攻击就导致了 1.2706 亿美元的损失,凸显了这一威胁的日益严重。以下是三位参与重大加密攻击的知名黑客。
Lazarus Group 黑客组织动态拉撒路集团是一个臭名昭著的长期黑客组织,由朝鲜支持。该组织以 APT 38、Labyrinth Chollima 和 HIDDEN COBRA 等别名而闻名,长期以来展现出绕过最先进安全系统的能力。
此外,Hacken 指出,他们的行动至少可以追溯到 2007 年,最初是入侵韩国政府系统。其他著名攻击包括 2014 年的索尼影业黑客事件(因电影《采访》而进行的报复)、2017 年的 WannaCry 勒索软件爆发,以及针对韩国经济部门的持续攻击。
近年来,拉撒路集团将重心转向加密货币盗窃,在 2021 年至 2025 年间窃取了超过 50 亿美元。最显著的事件是 2025 年 2 月的Bybit 黑客事件,当时该组织窃取了15 亿美元的以太坊($ETH)——创下有史以来最大加密货币盗窃记录。其他行动还包括 2025 年 5 月窃取的 320 万美元Solana($SOL)。
Gonjeshke Darinde 项目介绍“朝鲜的 ByBit 黑客事件从根本上改变了 2025 年的威胁格局。15 亿美元的单一事件不仅是历史上最大的加密货币盗窃案,还占今年从服务中被盗资金的约 69%。”Chainalysis 在 7 月写道。
Gonjeshke Darande(掠食麻雀)是一个政治动机的网络攻击组织,被广泛认为与以色列有关。在以色列与伊朗冲突升级之际,该组织利用了 Nobitex,伊朗最大的加密货币交易所,窃取了约 9000 万美元后将资金销毁。
Gonjeshke Darande 还公开曝光了 Nobitex 的源代码,削弱了该交易所的专有系统,并对其在用户和合作伙伴中的信誉造成了重大打击。
“12 小时前,8 个销毁地址从政权最喜欢的制裁违规工具 Nobitex 的钱包中销毁了 9,000 万美元。再过 12 小时,Nobitex 的源代码将向公众开放,Nobitex 的围墙花园将不再有围墙。你希望你的资产在哪里?”他们在 6 月发布了这条消息。
该组织的其他攻击也集中在伊朗的基础设施、银行等领域。
- 2021 年 7 月,Gonjeshke Darande 干扰了伊朗的铁路系统,导致重大延误,并在公共告示板上发布嘲讽信息。
- 2022 年 10 月,该组织攻击了三家大型钢铁厂,发布了火灾视频,造成严重的物理和经济损失。
- 2025 年 5 月,他们攻破了伊朗国有银行 Sepah 银行,泄露了敏感数据并扰乱了金融运作。
UNC4899 是另一个朝鲜国家支持的加密货币黑客组织。根据谷歌的云威胁视野报告,该组织隶属于朝鲜的主要情报机构侦察总局(RGB)。
报告显示,该组织至少自 2020 年以来一直活跃。此外,UNC4899 将其精力集中在加密货币和区块链领域。该组织在执行供应链攻击方面展现了先进的能力。
“一个显著的例子是他们涉嫌利用 JumpCloud,借此渗透到一个软件解决方案实体,并随后攻击加密货币领域的下游客户,突显出此类高级对手带来的连锁风险,”报告中写道。
在 2024 年至 2025 年间,这个加密黑客组织实施了两起重大加密货币盗窃案。其中一起,他们通过 Telegram 引诱受害者,利用 Docker 容器部署恶意软件,绕过谷歌云的多因素认证(MFA),窃取了数百万美元的加密货币。
在另一起事件中,他们通过 LinkedIn 接触目标,窃取 AWS 会话 Cookie 以绕过安全控制,将恶意 JavaScript 注入云服务,再次盗取了数百万美元的数字资产。
因此,今年加密货币盗窃不仅是金融犯罪,也成为地缘政治冲突的工具。今年损失的数十亿美元以及许多攻击背后的战略动机表明,交易所、基础设施提供商,甚至政府现在必须将加密货币安全视为国家安全问题。如果没有协调的防御、情报共享以及整个生态系统更强有力的保障措施,损失只会继续扩大。
