朝鲜黑客为何如此擅长窃取加密货币?
迪拜加密货币交易所 Bybit 的老板 Ben Zhou 回忆说, 2 月 21 日这一天原本很普通。睡觉前,他批准了公司账户之间的资金转账,这是为全球 6000 多万用户提供服务时执行的「典型操作」。半小时后,他接到一个电话。「Ben,出问题了,」他的首席财务官声音颤抖地说。「我们可能被黑客攻击了……所有的以太坊都消失了。」
独立调查人员和美国 FBI 很快将矛头指向了一个熟悉的罪魁祸首:朝鲜。来自这个隐士王国的黑客已经成为加密行业的最大威胁之一,也是朝鲜政权的重要收入来源,帮助其抵御国际制裁,控制精英,并为其导弹和核武器计划提供资金。
根据加密货币调查公司 Chainalysis 的数据,2023 年朝鲜黑客共窃取了 6.61 亿美元;2024 年,他们的盗窃金额翻了一番,在 47 次盗窃中共窃取了 13.4 亿美元,相当于全球被盗加密货币总额的 60% 以上。
ByBit 被盗案表明黑客的技术和野心正在不断提高:在一次黑客攻击中,朝鲜从该交易所窃取了相当于 15 亿美元的资金,这是加密货币历史上最大的盗窃案。
朝鲜网络部队起源
朝鲜的攻击是数十年努力的成果。该国第一所计算机科学学校至少可以追溯到 1980 年代。海湾战争帮助该政权认识到网络技术对现代战争的重要性。2016 年叛逃的朝鲜高级外交官泰永浩 (Thae Yong Ho) 说,有天赋的数学学生被送入特殊学校,并免于每年的农村义务劳动。朝鲜的网络部队最初被设想为间谍和破坏工具,但在 2010 年代中期开始专注于网络犯罪。据说金正恩称网络战为「万能剑」。
加密攻击与洗钱
窃取加密货币涉及两个主要阶段。第一阶段是入侵目标系统——这相当于找到通往银行金库的地下通道。钓鱼电子邮件可以插入恶意代码。朝鲜特工冒充招聘人员,诱使软件开发人员在虚假的求职面试中打开受感染的文件。另一种方法是使用虚假身份在外国公司获得远程 IT 工作,这可能是访问账户的第一步。Chainalysis 的 Andrew Fierman 说:「他们非常擅长通过社会工程学寻找漏洞。」在 ByBit 案例中,黑客入侵了为数字钱包软件提供商工作的开发人员的计算机。
一旦被盗,加密货币就必须洗白。黑钱分散在多个数字钱包中,与干净的资金混合,并在不同的加密货币之间转移,这一过程在业内被称为「混币」和「跳链」。区块链分析公司 Elliptic 的汤姆·罗宾逊 (Tom Robinson) 表示:「他们是我们遇到过的最老练的加密货币洗钱者。」最后,被盗资金需要出金。
越来越多的地下服务可以帮助实现这一目标,其中许多与有组织犯罪有关。执法部门的拦截和障碍减少了总体收入,但前联邦调查局分析师、现就职于区块链情报公司 TRM Labs 的尼克卡尔森 (Nick Carlsen) 表示,朝鲜预期绝对可以获得其窃取资金的「80%,甚至 90%」。
朝鲜为何擅长窃取加密货币
朝鲜有几个优势。一是人才。这看起来似乎有悖常理:该国极度贫困,普通民众无法使用互联网甚至电脑。但「朝鲜可以选拔最优秀的人才,并告诉他们该做什么」,首尔高丽大学的金承珠 (Kim Seung-joo) 表示。「他们不必担心他们会去三星工作。」在 2019 年的国际大学生编程大赛上,一支来自朝鲜大学的团队获得了第八名,击败了来自剑桥、哈佛、牛津和斯坦福的团队。
这些才能也得到了利用。朝鲜黑客昼夜不停地工作。他们发动攻击时异常大胆。佐治亚理工学院的珍妮·琼 (Jenny Jun) 说,大多数国家行为者都试图避免外交反弹,并且「像在《十一罗汉》中一样行动:戴着白手套,悄无声息地进入,偷走皇冠上的宝石,悄无声息地离开」。朝鲜并不「重视保密——他们不怕大声喧哗」。
朝鲜盗取的加密货币被用来干什么
对于朝鲜政权来说,被盗的加密货币已成为一条生命线,尤其是在国际制裁和新冠疫情使他们本已有限的贸易受到抑制的情况下。与传统的硬通货来源(例如海外劳工或非法毒品)相比,加密货币盗窃是一种更有效的赚取硬通货的方式。监测机构联合国专家小组 ( UNPE ) 在 2023 年报告称,网络盗窃占朝鲜外汇收入的一半。朝鲜去年的数字盗窃价值是其对华出口额的三倍多。卡尔森先生说:「数百万劳动力所获得的东西,只需几十个人就能复制。」
这些资金有助于支撑朝鲜政权。硬通货被用来购买奢侈品,以控制精英阶层。它还用于制造武器。据信,朝鲜被盗的加密货币大部分流入了其导弹和核武器计划。
未来会有更多朝鲜黑客攻击吗
加密货币调查人员在区块链上追踪被盗资金方面做得越来越好。主流加密货币交易所和稳定币发行商经常与执法部门合作冻结被盗资金。2023 年,美国、日本和韩国宣布了一项旨在打击朝鲜网络犯罪的联合行动。美国已对朝鲜使用的几家「混币」服务提供商进行了制裁。
然而,当局仍落后一步。在美国制裁朝鲜青睐的混币器后,黑客转向提供类似服务的其他公司。解决这个问题需要政府和私营部门的多边努力,但这种合作一直在破裂。去年,俄罗斯利用其在联合国的否决权废除了联合国网络安全能力委员会。唐纳德·特朗普总统削减美国发展援助的举措打击了旨在建设脆弱国家网络安全能力的计划。
相比之下,朝鲜正在向网络犯罪投入越来越多的资源。韩国情报部门估计,朝鲜网络犯罪队伍从 2022 年的 6,800 人增加到去年的 8,400 人。印度智库观察家研究基金会的 Abhishek Sharma 表示,随着加密货币行业在监管较弱的国家扩张,朝鲜拥有越来越「丰富的目标环境」。Sharma 先生指出,去年,朝鲜袭击了位于印度和印度尼西亚的交易所。
众所周知,朝鲜已经在行动中使用 AI。AI 工具可以帮助使网络钓鱼电子邮件更具说服力,并更容易以多种语言大规模制作。它们还可以使远程 IT 工作者更容易渗透到公司。像 Bybit 的 Zhou 先生这样的糟糕日子可能会变得越来越常见。
