【分析】北韓虛擬資產黑客攻擊損失額於2025年激增51%... 憑藉「質素提升」突破20億美元

2025年全年，與北韓相關的網絡攻擊者竊取的虛擬資產規模突破20億美元，刷新歷史最高紀錄。這比前一年增加了51%，分析認為這是攻擊頻率減少，但單次攻擊的規模與精準度大幅提升，即「選擇與集中」策略的結果。

根據區塊鏈分析公司 Chainalysis 的《2026年虛擬資產犯罪報告》，2025年北韓黑客的總竊取金額達到20.2億美元。至此，自2016年以來，北韓透過攻擊虛擬資產產業獲得的累計收益估計約為67.5億美元。

這種增長歸功於攻擊的「質素提升」。過去他們主要攻擊保安較弱的中小型去中心化金融（DeFi）協議，現在則精準鎖定擁有龐大資金實力的中心化交易所。

北韓黑客已轉向以更少攻擊次數獲取更大收益的策略。這意味著他們的網絡戰術已超越單純散播惡意軟件，進化為高度受訓的社交工程技巧。

2025年3月發生的 Bybit 黑客事件是這種策略轉變的典型案例。北韓相關組織透過這次單一攻擊竊取了14億美元，佔2025年總損失額的一半以上。

內部滲透與社交工程攻擊的結合

北韓正積極利用偽裝 IT 人員入職的戰術，以滲透虛擬資產企業的保安網絡。他們偽造身份被聘用為開發人員或技術支援人員，在獲取內部系統訪問權限後，扮演「特洛伊木馬」協助竊取資產。

• 以虛假招聘廣告及技術面試為幌子散播惡意軟件
• 透過 LinkedIn 等商務社交平台冒充高層管理人員並進行接觸
• 透過偽裝入職的 IT 勞工奪取內部管理員權限

被竊資金透過被稱為「中國式洗衣店（Chinese Laundromat）」的複雜洗錢網絡進行處理。為了躲避調查機構的追蹤，北韓與中國境內的專業洗錢組織合作，抹除資產來源並兌換成本地貨幣或其他資產。

在資金轉移過程中，跨鏈協議如 THORChain 的使用亦有所增加。TRM Labs 分析指出，北韓正利用 THORChain 的去中心化特性，在不同區塊鏈之間快速且穩定地轉移大規模資金。

國際監管真空與安全威脅

截至2026年5月，由於支援聯合國安全理事會下屬對北韓制裁委員會的專家小組停止活動，國際社會對北韓網絡犯罪的監控網絡出現了巨大漏洞。部分安理會成員國擔心，目前的跨國監控體系不具備過去專家小組那樣的權威。

被竊取的虛擬資產被用作北韓運作大規模殺傷性武器（WMD）及核計劃的核心資金來源。根據聯合國報告，北韓正利用透過網絡攻擊獲取的資金，採購核濃縮設施所需的硬件及自動化武器等。

隨著虛擬資產市場納入監管體系，國家主導的黑客攻擊預計將變得更加精細。中心化交易所及相關企業必須加強對內部人員的核查程序，並引入實時鏈上監控系統，從根本上重新檢視防禦能力。