朝鲜黑客悄然渗透区块链行业，从冒充身份参与大型项目，到黑客攻击价值数百万美元。 

揭露朝鲜黑客如何渗透并摧毁加密货币行业。照片：PCMag

朝鲜对加密货币行业的渗透

近年来，区块链领域已成为国际黑客组织暴利的猎物。但谁也没想到，朝鲜这个受到严格禁运的国家是一系列复杂攻击的幕后黑手，从伪造信息申请大型加密货币项目到劫持数百万美元的加密资产，将该行业变成了加密货币的融资工具。该国的核武器计划。

朝鲜程序员经常使用虚假身份，申请带有虚假但非常复杂的信息的工作，包括具有强大源代码贡献历史的 GitHub、丰富且完整的虚假 KYC 验证文件。他们的目标不仅是参与区块链项目的开发，而且还窃取资产并将资金转移到朝鲜。

这种渗透过程多年前就开始了，但直到安全专家（例如扎克XBTCoinDesk 曝光了该网络的规模。 

Truflation、MISO 和许多其他项目不小心雇佣了错误的朝鲜员工

朝鲜程序员渗透最引人注目的案例之一是特鲁弗拉基，一个在区块链上提供金融预测解决方案的项目。 2023 年，Truflation 在不知情的情况下意外招募了许多朝鲜程序员。

据Truflation创始人Stefan Rust介绍，在发展的早期阶段，公司一直在寻找来自世界各地有才华的程序员。来自日本、加拿大、新加坡的申请者申请并很快通过了招聘流程。 其中一位是一位来自日本、自称“Ryuhei”的程序员。凭借令人印象深刻的简历和在 GitHub 上的众多贡献，“Ryuhei”很快就被招募到 Truflation 的团队中。

然而，龙平开始工作后不久，鲁斯特开始注意到不寻常的迹象。在一次谈话中，这位程序员突然说他刚刚在日本经历了一场地震。 Rust很快查了资料，发现当时日本并没有发生地震。

当龙平开始错过许多重要电话时，怀疑不断增加，而当他出现时，他的声音已经改变，听起来不再是日语。 Rust分享道：“当时和我说话的人显然不是原来的龙平，而是一个完全不同的人。” 

当 Rust 发现不仅是 Ryuhei，还有其他四名程序员也从蒙特利尔、温哥华、休斯顿和新加坡等不同地点被 Truflation 聘用时，问题变得更加严重。经过彻底检查后，发现他们都是使用假身份的朝鲜人。 

发现这一事实后，Rust 迅速解雇了程序员，并对 Truflation 的源代码进行了全面的安全检查。但 Truflation 随后成为攻击目标超过500万美元被盗来自 Rust 的个人区块链钱包。虽然无法确认这次攻击是否与朝鲜程序员直接相关，但其发生的时间恰好是在朝鲜员工被发现之后，该项目面临着严重的财务和声誉损失。

MISO Launchpad 平台破解属于寿司交换2021年9月造成300万美元损失也是朝鲜黑客参与区块链项目造假过程的典型例子。黑客攻击的原因可追溯到两名自称“Anthony Keller”和“Sava Grujic”的程序员——这两个都是朝鲜黑客使用的假名。

Keller 和 Grujic 凭借令人印象深刻的简历通过了招聘流程，其中包括在著名项目上工作的经验，例如向往金融。然而，在受 SushiSwap 聘请开发 MISO 后，他们在平台上安装了恶意代码。通过利用源代码，他们秘密添加了将资金从 MISO 重定向到他们的钱包的代码。

SushiSwap 时任 CTO Joseph Delong 很快追踪到了该恶意代码，发现是上述两名员工实施了攻击。这两名程序员很快就删除了自己的账号，从平台上消失了。当 SushiSwap 威胁要向 FBI 报告这一事件时，他们将其退回全部金额被盗。 

通过进一步调查，CoinDesk 调查人员发现，与 Keller 和 Grujic 相关的加密货币钱包都有向朝鲜区块链账户汇款的痕迹，其中包括“Jun Kai”——另一名程序员被发现参与了类似的攻击。 

甚至，Liquid Stake Module（LSM）机制宇宙Hub也无法逃脱朝鲜的控制。 LSM 旨在控制和限制 Cosmos 网络中的流动性质押，一直是复杂渗透活动的目标。该事件非常严重，以至于 Cosmos Hub 项目被迫直接联系 FBI，以解决出现的安全问题，并找到防止该事件负面影响的方法。

朝鲜黑客参与了许多不同的协议攻击

朝鲜黑客不仅通过虚假身份渗透项目，还参与了加密行业的许多重大攻击。最著名的黑客组织之一是 Lazarus Group。该黑客组织 被认为是许多安全事件的主谋，例如 浪人, 轨道链,  币交所, 赌注, 原子钱包, 和谐, DMM 比特币……最近，WazirX 交易所损失超过 2.3 亿美元。 据估计，该团伙在过去3年中收入超过30亿美元。 报告 网络安全公司 Recorded Future 的创始人。

链上侦探 ZachXBT 最近曝光了一个朝鲜黑客组织在 2024 年从一个区块链项目中窃取价值 130 万美元的资金。

可见，朝鲜黑客组织经常利用源代码中的漏洞，向系统中插入恶意代码，然后通过多个区块链进行转账，然后再将资金提取到个人钱包地址。这个过程涉及从许多不同的区块链转移资金，然后使用 Tornado Cash 进行匿名化，通过中间钱包转移资金，使得交易难以追踪。

这些加密货币从中间钱包转移到与朝鲜政府所属的个人或实体相关的区块链地址，特别是那些被美国境外资产控制办公室 (OFAC)禁运的个人或实体，例如 Kim Sang Man 和 Sim Hyon Sop。 。这些交易通常要经过多个国家，例如俄罗斯或老挝，朝鲜代表在这些国家打着 IT 公司的幌子继续将资金汇回国内。

政府的预防措施 

为了应对这一威胁，许多国家政府和国际组织都加大了警告力度，并出台了强有力的措施来防止朝鲜黑客的入侵。 

美国在应对朝鲜威胁方面处于领先地位，尤其是在区块链领域。自 2016 年以来，美国财政部通过外国资产控制办公室 (OFAC) 对与朝鲜有关联的个人和实体实施了制裁，其中包括涉嫌开发 IT 和区块链钱包地址的个人和实体。就连美国财政部也曾经惩罚币安钱包归朝鲜所有指控龙卷风现金“洗钱”对于这个国家的核计划，

据 OFAC 称，许多朝鲜黑客使用虚假身份渗透技术和加密公司。涉及这些黑客的金融和区块链交易受到密切监控。美国政府已要求科技公司更加谨慎地检查外国程序员的背景和身份，并警告称，任何涉及制裁名单上个人的交易都将依法调查和处理。

自 2017 年以来，联合国通过安理会发布了多项针对朝鲜的制裁决议，以应对该国的核威胁和支持其破坏性武器计划的活动。这些决议禁止联合国任何成员国与与朝鲜有联系的个人或组织进行金融或商业交易。这些制裁包括禁止从朝鲜招募 IT 开发人员并防止非法资金流入该国。