CertiK 最新情报揭示，朝鲜政权已将加密货币盗窃活动彻底“产业化”，将其作为获取硬通货以支撑核武器及弹道导弹计划的关键渠道。2025 年，与朝鲜关联的黑客组织窃取了该年度加密货币盗窃案中约 60% 的被盗资金，这一数据源自 Skynet 发布的新报告。在 2025 年发生的 656 起安全事件中，有 79 起直接指向朝鲜势力，累计损失高达 20.6 亿美元。若将时间跨度拉长至 2016 年至 2026 年初，独立链上研究专家 Taylor Monahan 的数据显示，朝鲜关联势力在 263 起记录在案的事件中，累计窃取了约 67.5 亿美元的加密货币资产。

这种犯罪模式的演变标志着从机会主义攻击向“精准性与规模效应”的战略转型。午方 AI 梳理发现，尽管朝鲜关联团体在 2025 年仅参与了所有相关事件的 12%，却攫取了 60% 的被盗资金，这表明其攻击目标已高度聚焦于规模巨大的资本池。2025 年 2 月发生的 Bybit 攻击事件是这一趋势的典型案例，该事件导致约 15 亿美元的巨额损失。此次攻击并非传统的代码漏洞利用，而是通过第三方签名服务提供商的供应链漏洞实施，攻击者篡改了用户界面，使资金在交易表面内容未变的情况下被转移至恶意地址。

资金清洗路径的复杂化进一步印证了其组织化程度。CertiK 的链上分析显示，在 Bybit 攻击发生后的一个月内，被盗的 ETH 中约有 86% 通过混币服务、跨链桥接工具、去中心化交易所及场外经纪人被迅速转换为 BTC，以切断追踪线索。

与此同时，攻击手段的初始入口依然依赖社会工程学，包括发布虚假招聘信息、冒充投资者以及利用恶意代码库。2022 年的 Ronin Bridge 攻击即源于一次鱼叉式网络钓鱼，攻击者利用伪造的 LinkedIn 招聘信息和含恶意软件的 PDF 文件成功入侵。

更为严峻的是，一种被称为“物理渗透”的新型攻击模式正在兴起。午方 AI 注意到，2026 年 4 月发生的 Drift Protocol 攻击事件便是此类手段的典型代表。攻击者经过长达六个月的潜伏，通过参加会议、建立人际关系以及操纵治理结构，最终从基于 Solana 平台的该协议中窃取了约 2.85 亿美元的资产。CertiK 区块链情报分析师 Jonathan Riss 指出，朝鲜关联犯罪活动如今已将情报收集技巧与技术性攻击手段深度结合，其信息技术专家和中间人甚至可能利用虚假身份在西方加密货币公司和金融科技企业中担任要职。

这一系列事件已超越单纯的网络安全范畴，上升为国际安全议题。CertiK 报告引用联合国监督机构及美国情报评估指出，这些通过加密盗窃获取的资金确凿无疑地被用于支持朝鲜的核计划和弹道导弹项目。随着攻击手段从单一的技术漏洞利用演变为包含供应链破坏、社会工程欺诈及物理渗透的立体化作战，全球加密行业面临的威胁性质正在发生根本性改变，亟需建立更高维度的防御体系以应对这一国家级对手的挑战。