朝鲜黑客如何盗取加密货币？拉撒路集团全过程揭秘

一家加密货币交易所或Defi项目，突然在几分钟内损失几亿甚至十几亿美元，钱不见了系统却看起来一切正常。这就是现实中朝鲜支持的黑客组织“拉撒路集团”（Lazarus Group，也叫TraderTraitor）的“日常操作”，2025年一年他们就从加密世界偷走了超过20亿美元，占全球加密盗窃总额的一半以上。

他们是谁？为什么专盯加密货币？

拉撒路集团是由朝鲜官方支持的顶级黑客组织，活跃已超过十年，早期他们主要针对银行系统发起攻击，但随着加密市场的发展，逐渐将目标转向加密货币领域，原因很直接一是单次攻击收益极高，动辄数亿美元，二是区块链具备一定匿名性，资金流转初期较难追踪，三是加密市场全天候运转，给攻击提供持续机会，对朝鲜而言这类资金还能在一定程度上绕过国际制裁，转化为外汇资源。

已知的作案流程

他们的攻击几乎每次都遵循同一个“剧本”，核心是先骗人、再偷钥匙、最后洗钱。

阶段1：前期侦察

他们会花几个月研究目标公司，哪个交易所钱多？哪个Defi项目有漏洞？重点锁定开发者、IT管理员、钱包管理员这些“关键人物”，用LinkedIn、Telegram、邮箱等平台，假装是“猎头”或“投资人”。

阶段2：社会工程学钓鱼

1、发“高薪工作邀请”：月薪2-3万美元的加密岗位。

2、让你下载“面试材料”“编程测试题”或“假的加密交易App”。

3、文件里藏着恶意软件，一旦打开就偷偷安装后门，偷走你的电脑权限、密码、甚至钱包私钥。

真实案例，2022年Ronin Bridge（Axie Infinity游戏桥）被盗6.25亿美元，就是因为一名工程师被假招聘骗了，下载了带毒的PDF文件。

阶段3：潜入系统、拿到控制权

1、偷SSH密钥、云服务令牌，进入公司内部网络。

2、针对多签钱包（需要多人同时签名才能转钱）下手，篡改界面，让管理员以为自己在正常转账，其实钱已经去了黑客地址。

3、或者直接控制验证节点、桥接合约。

2025年2月著名的Bybit交易所1.5亿美元大劫案，就是通过攻击第三方钱包工具Safe{Wallet}，在转账界面“偷梁换柱”，让管理员不知不觉签了假交易。

阶段4：快速盗取资金

一旦拿到权限，他们动作极快，把冷钱包（离线存储）的钱转到热钱包，几分钟内把资金分散到上百个新地址，优先转成ETH或BTC。

阶段5：洗钱

1、先通过去中心化交易所（DEX）把币换来换去。

2、用跨链桥在不同区块链间跳跃。

3、通过“混币器”或层层小额转账（peel chain）打散痕迹。

4、最后通过境外OTC经纪人换成真实美元、人民币或韩元。

整个洗钱过程可能持续几个月甚至几年，但他们已经形成“工业化”流程，几乎每次都能成功套现一部分。

从Ronin到Bybit，看清套路

2022年Ronin Bridge：假招聘 → 工程师中招 → 偷5个验证器密钥 → 6.25亿美元瞬间被盗。

2025年Bybit交易所：攻击第三方钱包软件+界面欺骗 → 1.5亿美元ETH被转走，事后迅速分散洗白。

2025年全年：他们还连续攻击了Drift Protocol、KelpDAO等项目，单次动辄几亿美元。

这些案子共同点：99%不是技术漏洞，而是“人”的漏洞。

普通投资者的警示

1、不要轻易点击陌生人的“招聘链接”或“投资文件”。

2、重要操作时使用硬件钱包（Ledger、Trezor），私钥永远离线。

3、开启2FA（最好用硬件密钥而非短信）。

4、遇到“高薪加密工作”或“免费空投”时，多留一个心眼。

拉撒路集团最厉害的地方不是技术，而是把“骗人”做到了极致，理解他们的全流程，不是为了害怕，而是为了更好地保护自己。在加密世界里，人永远是最大的安全漏洞，也是最好的防线。