2025 年，全球加密货币安全格局遭遇严峻挑战，朝鲜政府关联的黑客组织成为破坏力最强的威胁源。网络安全巨头 CrowdStrike 在 2026 年发布的《金融服务威胁形势报告》中披露，尽管此类团伙发动的网络攻击频次出现下降，但其造成的加密货币损失总额却逆势飙升，全年累计超过 20 亿美元，同比增幅高达 51%。这一数据表明，朝鲜黑客正从广撒网的低效攻击转向高价值目标的精准打击，其针对 Web3 项目和交易所的掠夺能力已远超其他威胁群体。

这种攻击模式的转变源于加密货币资产独特的变现属性。午方 AI 梳理发现，朝鲜黑客与诈骗分子之所以将矛头对准 Web3 生态，是因为通过该渠道盗取的资金能够实现更高程度的匿名化转移和变现，这是传统金融体系难以比拟的优势。报告强调，这些与国家意志紧密绑定的黑客组织，正利用日益复杂的网络安全漏洞和社会工程学手段，对加密货币用户及相关企业构成系统性威胁，其破坏力已跃升为行业面临的最大风险。

攻击手段的升级不仅体现在技术层面，更延伸至物理接触与信任欺诈。今年 4 月，负责监管以太坊生态发展的以太坊基金会识别出 100 名受朝鲜支持的黑客及威胁行为者，他们成功渗透了多个加密货币项目。与以往纯粹的远程攻击不同，2025 年 4 月发生的 Drift Protocol 入侵事件标志着一种新型混合攻击模式的诞生。去中心化交易所 Drift Protocol 遭到与朝鲜有关联的技术人员直接入侵，这些人员并非远程操作，而是通过线下接触获取了开发团队的信任。

Drift Protocol 团队事后披露，这些威胁行为者是在一场重要的加密货币行业会议上与开发团队结识的，并在随后的六个月里建立了看似正常的合作关系。在此期间，黑客利用信任关系部署了恶意软件，直接破坏了开发人员的设备，最终导致高达 2.8 亿美元的巨额损失。团队特别澄清，那些亲自与会面的人员并非朝鲜公民，这印证了朝鲜威胁行为者惯用的策略：利用第三方中间人建立面对面的物理联系，从而绕过传统的数字防御边界。

与此同时，朝鲜黑客组织的运作模式也呈现出高度商业化和隐蔽化的特征。同一个月，链上研究人员 ZachXBT 监测到一群朝鲜信息技术工作者，他们通过在科技公司任职，每月能赚取 100 万美元的收入。这种通过合法或半合法身份掩护的“白手套”操作，使得追踪和归因变得异常困难。午方 AI 注意到，这种将国家黑客能力转化为高收益商业活动的模式，正在重塑全球网络安全的威胁版图。

综合来看，2025 年的数据揭示了一个令人担忧的趋势：朝鲜黑客组织正通过减少攻击频次、提高单次攻击价值以及引入物理社会工程学手段，实现了损失金额的指数级增长。从 Drift Protocol 的 2.8 亿美元惨案到整体 20 亿美元的年度损失，都表明单纯的技术防御已不足以应对这种融合了地缘政治意图与高级欺诈手段的复合型威胁。未来，Web3 项目必须将人员背景审查和线下社交工程防御纳入核心安全策略，以应对这一不断演变的国家级威胁。