从代码漏洞到人性漏洞:朝鲜黑客攻击模式正在升级
Ripple 与 Crypto ISAC 最新披露显示,朝鲜关联黑客组织 Lazarus Group 正在放弃传统智能合约漏洞利用,转而通过伪装求职者、建立内部信任、长期潜伏的方式渗透加密企业。与过去几分钟内利用协议漏洞掏空资金不同,这类攻击往往持续数月。攻击者通过 LinkedIn、邮件、视频面试等方式通过背景调查,成功进入项目团队后部署恶意软件,直接窃取私钥或关键权限。
Drift 与 KelpDAO 两起事件成为这一趋势的典型案例。仅 2026 年 4 月,两起攻击累计损失已超过 5 亿美元,且均被指向同一朝鲜国家级威胁行为者。更危险的是,当 2.85 亿美元和 2.92 亿美元资产被转移时,多数传统风控系统并未及时识别异常,因为攻击行为发生在“可信内部人员”层面,而非异常链上地址本身。
为什么传统 AML 与智能合约审计已不足够
这类攻击揭示,加密行业安全边界已从代码审计扩展至身份验证、行为监控与跨平台威胁情报共享。Ripple 向行业共享的威胁画像,包括 LinkedIn 档案、邮箱、联系方式与跨公司关联模式,意味着未来风险控制不仅是监测钱包,更是识别攻击者在进入系统前的行为路径。
对于交易平台、DeFi 协议与机构投资者而言,仅依赖合约安全或交易监控已难以覆盖新型国家级威胁。Trustformer KYT 可帮助平台强化链上资金流监测,而面对 Lazarus 式社会工程攻击,行业更需要将 KYT 与身份风控、零信任架构结合,建立覆盖链上与链下的双重防线。