得到朝鲜政府支持的黑客组织正展现出前所未有的行动精度与战术成熟度。仅在今年，这些组织已造成加密货币领域超过 76% 的损失，总金额接近 6 亿美元。其中，针对 Drift Protocol 的攻击事件尤为典型，TRMLabs 将其定性为一次持续时间长达数月且“前所未有的面对面社会工程攻击”。此次行动并非传统的远程网络入侵，而是涉及朝鲜代理人与 Drift 公司员工进行多次线下会面。TRMLabs 全球政策与政府事务负责人 Ari Redbord 指出，在朝鲜的加密货币黑客活动史上，这种依赖面对面交流的方式尚属首次，标志着攻击模式已从单纯的远程操作转向更具欺骗性的物理接触。Ari 的这番评论基于 TRMLabs 于周四发布的最新报告，该报告明确显示，在 2026 年所有因黑客攻击造成的加密货币损失中，朝鲜两大黑客组织 DPRK 和 Lazarus 占据了 76% 的份额。Redbord 在报告中强调，当前观察到的并非攻击规模的简单扩大，而是行动更加精准、效率显著提升的质变，朝鲜黑客的行动速度与精准度均达到历史最高水平。TRMLabs 的数据进一步揭示，自 2017 年以来，朝鲜通过各种黑客手段窃取的加密货币总价值已超过 60 亿美元。

午方 AI 梳理发现，TRMLabs 的研究结果与近期另一起攻击事件高度吻合。在那起事件中，攻击者利用与 4 月 19 日针对 Drift Protocol 攻击类似的手段，通过一个被篡改的部署密钥窃取了 450 万美元。

与此同时，针对 KelpDAO 的攻击则利用了 LayerZero 此前多次警告过的安全漏洞，最终导致 2.92 亿美元的资产被盗。根据 TRMLabs 的深度分析，这两起攻击在资金处理手法上存在显著差异：实施 4 月 19 日攻击的黑客将窃取到的资金先转换成 USDC，随后转移到以太坊平台进行进一步操作；而实施 KelpDAO 攻击的黑客则直接将资金通过 THORChain 和 Umbra 等渠道进行洗钱。午方 AI 注意到，这些洗钱渠道几乎完全由中国中介机构控制，且其作案手段早已被公开记录在案。报告特别指出，与 4 月 19 日的攻击不同，Lazarus 在窃取 KelpDAO 资金后立即启动了通过 THORChain 和 Umbra 的洗钱流程，这一过程同样高度依赖中国中介机构的配合。

KelpDAO 攻击事件引发了去中心化金融领域的剧烈震荡，造成了该领域迄今为止最严重的损失。据统计，共有 130 亿美元的资产从多个借贷平台中流失，其中 Aave 平台的损失尤为惨重。在短短 48 小时内，Aave 平台的存款总额减少了 85.4 亿美元，这一急剧的资本外逃直接引发了近 2 亿美元的不良债务危机。面对这一严峻局面，行业内的相关机构正在紧急协调，目前已提供 3 亿美元的援助资金以帮助 Aave 缓解流动性危机。这种从技术漏洞利用到社会工程欺诈，再到复杂洗钱网络的战术演变，表明朝鲜黑客组织正在构建一套更加系统化、隐蔽化且难以追踪的攻击体系。随着攻击手段的日益精准化，传统的安全防御机制正面临前所未有的挑战，行业亟需重新评估针对物理接触和社会工程攻击的防御策略，以应对未来可能出现的更大规模威胁。