关键要点:
- 朝鲜行为者现在倾向于对桥梁和政府机构进行高影响力的外科手术式打击,导致 2026 年初全球所有加密货币黑客攻击损失的 76%。
- 像 TraderTraitor 这样的子组织正在将社会工程与基础设施破坏结合起来,577 亿美元的 Drift 和 KelpDAO 漏洞就是明证。
- 应对这些精准威胁需要从静态黑名单转向实时 KYT 和分析,以便在资金消失之前检测出转移点并冻结退出点。
数字资产行业在 2026 年意识到一个令人不寒而栗的事实:国家支持的网络战已经从持续存在的背景噪音转变为全球加密货币损失的主要驱动因素。
最近的调查结果来自 TRM实验室 揭示了一个惊人的趋势。仅在2026年的前四个月,朝鲜黑客组织就造成了…… 总共76% 加密货币黑客 全球损失虽然盗窃事件总数仍然较低,但其精准度和规模却是前所未有的,自 2017 年以来的累计盗窃案数量现已超过…… 的美元6亿元 标记。
新策略:精准胜于频率
多年来,关于朝鲜黑客攻击的讨论主要集中在攻击数量上。而如今,数据显示其策略已发生转变。精英黑客组织不再撒网式攻击,而是执行少数几次高影响力、精准的攻击行动。
2026年4月,仅发生了两起事件—— 漂移协议 攻击和 海带DAO 利用——已解释 577 百万美元 损失方面,这两起事件仅占全年黑客攻击事件总数的3%,却造成了超过四分之三的总损失。这一转变表明,攻击目标正转向高复杂度目标:跨链桥和多重签名治理系统。
漂移协议劫案:社会工程学的经典案例
Drift Protocol 被盗的 285 亿美元堪称一绝 企业层面的渗透.
渗透:人为因素
数月以来,一些冒充合法开发者和机构合作伙伴的人与 Drift 团队建立了联系。这些代理人技术娴熟、专业素养极高,得以成功融入协议的组织架构中。等到技术攻击开始时,攻击者已经赢得了那些本应守护金库的人的信任。
第一阶段:创建虚拟资产(1月11日)
数字攻击的筹备工作于00月11日正式开始。平壤时间上午9点整,攻击者从Tornado Cash账户转移了10个以太币(ETH)用于搭建攻击基础设施。他们的第一步是“创建”一种名为“虚拟资产”的虚拟资产。 CarbonVote代币(CVT).
在外人看来,CVT 似乎是一个正在发展中的项目。攻击者在 Raydium 的流动性池中投入了几千美元,并利用虚假交易机器人伪造了交易量历史记录。他们花费数周时间制造了一个大约 1.00 美元的“市场价格”。Drift 的价格预言机——由于没有预料到会出现这种毫无实际用途的被操纵资产——捕捉到了这一信号,并开始将 CVT 视为合法的抵押品。
第二阶段:“持久恋童癖”陷阱(2月23日至30日)
攻击者主要针对 Solana 的一项功能,该功能名为 持久随机数通常情况下,Solana 交易会在大约 90 秒后过期。持久随机数允许对交易进行预先签名并无限期保存,以便稍后广播。攻击者利用其社会地位,诱使 Drift 安全委员会成员预先签署看似例行的管理交易。实际上,这些是“空白支票”。由于这些交易使用了持久随机数进行签名,攻击者得以像握紧弹簧一样牢牢掌握这些授权。
第三阶段:致命的配置变更(3月27日)
3月27日,Drift采取了一项战略举措,将风险演变成了灾难。该议定书将其安全理事会的席位分配调整为新的2/5门槛配置,并设定了…… 时间锁定至零在大多数 DeFi 协议中,“时间锁”起到冷静期的作用,允许社区检查并“阻止”交易操作。Drift 移除时间锁后,就失去了在欺诈交易最终生效前发现并阻止它的唯一时间窗口。
第四阶段:12分钟执行(4月1日)
4月1日,袭击者以惊人的速度发动了袭击:
- 押金: 他们将数亿个“毫无价值”的 CVT 代币存入了 Drift。
- 操纵: 由于预言机认为 CVT 的价值为 1.00 美元,该系统获得了大量的抵押品。
- 排水沟: 他们利用3月份预先授权的“空白支票”,立即提高了取款限额。
在短短 12分钟他们执行了 31 笔预签名提款,以虚假抵押品借入 USDC 和 JLP 等真实资产。在 Drift 团队做出反应之前,这些资金已被转移到以太坊。
KelpDAO漏洞利用:破坏桥梁基础设施
虽然 Drift 黑客攻击依赖于社会工程学, 292 百万美元 KelpDAO漏洞利用是对KelpDAO的一次技术性打击。 跨链管道基础设施.
漏洞:单验证者弱点
KelpDAO 使用 LayerZero 网桥来传输其 rsETH 代币。为了降低成本和复杂性,该网桥采用了“单验证器”设计。这意味着整个系统依赖于唯一的权威来源——LayerZero Labs 去中心化验证器网络 (DVN)——来确认资产的转移或销毁。不存在第二个验证者。
布局:毒害水井
攻击者识别并攻破了KelpDAO的两个内部RPC节点。RPC节点本质上是区块链应用程序的“耳朵”,它们负责向软件报告网络上的动态。入侵成功后,黑客将节点软件替换为“恶意”版本。该版本被编程为虚假信息,即使实际上并不存在rsETH销毁交易,也会报告rsETH已在源链上被销毁。
执行过程:DDoS攻击与故障转移(4月18日)
4月18日,攻击者对网桥通常监听的外部RPC节点发起了大规模分布式拒绝服务(DDoS)攻击。随着这些正常节点停止运行,网桥的验证器遵循其安全协议:它“故障转移”到唯一仍在响应的节点——已被攻破的内部节点。
被污染的节点向验证者提供了虚假信息。验证者从其唯一可用的来源看到了“证据”,并确认了这条欺诈性的跨链消息。这使得攻击者得以窃取资金。 116,500 rsETH 来自以太坊桥合约。
混乱逃亡
与冷静的 Drift 攻击者不同,KelpDAO 组织——被认定为 交易者叛徒 小组犯了错误。他们将价值 75 万美元的 ETH 留在了 Arbitrum(一个中心化的 Layer 2 网关)上。这给了 Arbitrum 安全委员会足够的时间行使紧急权力并冻结这些资金。
冻结引发了一场“疯狂的争夺”。黑客们疯狂地转移了剩余的175亿美元。 索链他们尽可能快地将以太坊兑换成比特币。这一阶段主要由中国中间人操作,这表明洗钱网络虽然分散但效率很高。
KYT 和区块链分析的关键作用
这些攻击对2026年加密生态系统的完整性构成了根本性挑战。当国家行为体可以等待数月转移被盗资产时,静态黑名单已不再足够。这就是…… 了解您的交易 (KYT) 以及 高级 区块链分析 成为必要的防御机制。
- 实时警报: 预警网络能够实现跨平台即时预警。一旦识别出与朝鲜有关联的地址,相关机构会在几分钟内而非几天内收到通知,从而有可能在提款到账前将其阻止。
- 多跳归因: 简单的“首跳”筛选很容易被绕过。现代分析技术能够追踪资金流经数十个中间钱包和多个资金桥,从而识别出财富的“真正”来源。
- 桥梁卫生监测: 正如 Drift 攻击所揭示的那样,漏洞存在于治理和多重签名配置中。分析工具现在可以帮助企业监控其交互协议的运行状况和行为,标记可疑的预签名交易或时间锁设置的更改。
使用 ChainUp KYT 保护您的基础设施
行业不能仅仅依赖区块链安全性的永久性。随着黑客变得越来越耐心和老练,防御工具必须更加主动。
ChainUp KYT 提供机构级监控,以应对 2026 年的威胁形势。我们的解决方案超越了基本的黑名单功能,还提供:
- 实时交易监控: 一旦发现可疑资金流动,立即进行检测和标记,以便在提款发生之前进行立即干预。
- 高级多跳追踪: 透过“跳转”和中间钱包,识别源自朝鲜犯罪集团和桥接漏洞的资金。
- 协议治理警报: 监控您交互的 DeFi 协议和桥接器的运行状况,接收有关风险配置更改或异常多重签名活动的警报。
- 无缝合规集成: 专为需要精准、临床数据以满足全球监管标准的交易所运营商和机构投资者而打造。
不要等到下一次12分钟的溃败才意识到你的防守策略已经过时了。 立即预约 ChainUp 演示 了解我们的 KYT 解决方案如何帮助您加强基础设施,抵御业内最复杂的威胁。
