資安研究員 Taylor Monahan 確認,北韓 IT 工程師潛伏加密產業至少七年,逾 40 個 DeFi 協議在不知情下完成了聘用流程;Drift Protocol 2.85 億美元損失案顯示,Lazarus 已引入非朝籍「第三方中間人」執行接觸,現有的面試防禦邏輯因此失效。
(前情提要: 北韓滲透幣圈手法曝光:Sushi等10多家Web3企業誤聘北韓臥底 )
(背景補充: 北韓比特幣儲備大增1.3萬枚「成第三大持有國」僅次美英,駭客Lazarus如何衝擊全球加密軍備賽? )
本文目錄
Toggle
逾 40 個 DeFi 協議、七年時間、累計約 70 億美元竊款——MetaMask 開發者暨資安研究員 Taylor Monahan 的結論並不新奇,新奇的是它一直沒有成為業界標準防禦項目:北韓工程師在「DeFi 夏天」期間便已完成入場,參與的協議大概率包含你正在使用的那幾個。
oh god uhhhh like sushi, thorchain, yam, pickle, harvest, reclaim, swing, paid, naos, shezmu, qrolli, saffron, sifu, napier, harmony, blueberry, stabble, onering, elemental, divvy, la token, impermax, kira, cook, fantom, ankr, gamerse, metaplay, spice, beanstalk, deltaprime,…
— Tay ? (@tayvano_) April 5, 2026
Monahan 的觀察點值得記錄:這些工程師履歷上標注的「七年區塊鏈開發經驗」,在技術層面是準確的。他們確實在幣圈累積了七年實戰經驗,只是雇主並不知道薪資支票最終流向哪個政權。
從 Ronin 到 Bybit:Lazarus 七年的帳面成績
Lazarus Group 是北韓官方授權的駭客集團總稱。據 R3ACH 分析師統計,自 2017 年起累計竊取約 70 億美元加密資產。近年幾筆較具代表性的紀錄:2022 年 Ronin Bridge 6.25 億美元、2024 年 WazirX 2.35 億美元、2025 年 Bybit 14 億美元。
Monahan 的評論發布時間,距 Drift Protocol 公告僅數小時——該協議以「中高可信度」判定,上週 2.85 億美元的損失來自北韓國家關聯組織。
Titan Exchange 創辦人:面試者事後出現在 Lazarus 名單
Solana DEX 聚合器 Titan Exchange 創辦人 Tim Ahhl 提供了一個流程層面的案例。他表示,前一份工作中,團隊完成了一位應徵者的面試程序,「後來才在 Lazarus 資訊洩露名單上找到這個人」。
該候選人進行了視訊面試,技術能力「極為出色」,唯一異常是拒絕接受現場面試。這個模式並不罕見,但在 2021 至 2022 年的招募熱潮中,遠端拒絕現場面試的候選人並不會自動觸發警報。
Drift 事後分析:朝鮮臉孔已不是必要條件
Drift Protocol 的事後報告記錄了一個防禦意義更為直接的細節:此次造成 2.85 億美元損失的面對面接觸,對方並非北韓籍人員,而是持有「完整構建身份——包含工作經歷、公開可查資格認證與職業人脈網路」的第三方中間人。
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
Ahhl 對此的描述較為直接:「Lazarus 似乎已讓非朝籍人員替他們親自出面行騙。」這意味著「強制現場面試」和「辨認口音」這兩項被業界視為有效的過濾手段,已在某個時間點失去了實際效用。具體是哪個時間點,目前無人能給出答案。
ZachXBT:手法不精密,但從未停止
區塊鏈偵探 ZachXBT 在同日補充了分類層面的觀察。他指出「Lazarus Group」實為北韓所有國家贊助網路攻擊者的集體標籤,業界習慣將複雜程度各異的威脅統一歸入同一名稱,結果是風險評估被平均化,而非精準化。
Lazarus Group is the collective name for all DPRK state sponsored cyber actors.
The main issue is everyone groups them all together when the complexity of threats are different.
Threats via job postings, LinkedIn, email, Zoom, or interviews are basic and in no way… pic.twitter.com/NL8Jck5edN
— ZachXBT (@zachxbt) April 5, 2026
針對透過求職廣告、LinkedIn、電子郵件、Zoom 或面試發動的威脅,ZachXBT 的定性是:「基礎且毫不精密,唯一的特點是毫不懈怠。」他的結論則更為直白:「若你或你的團隊在 2026 年仍會上當,幾乎可以說是嚴重失職。」
對希望建立基線防禦的加密業者,美國 OFAC 設有公開制裁名單查詢介面,並提供 IT 人員詐騙的行為模式預警指引。防禦成本不高,使用率另當別論。
?相關報導?
ZachXBT全文:反駭北韓駭客裝置後,我明白了他們的「工作」模式
DRIFT 遭駭代幣暴跌 28%,駭客將 2.85 億美元全洗成 ETH 落跑
Circle 單方面凍結 16 家企業錢包,北韓駭客贓款卻袖手旁觀
