2025年9月下旬,区块链社区再次被一则重磅新闻震动:日本加密公司SBI Crypto发生大规模资金被盗事件,涉案金额约为2100万美元。链上痕迹显示,被盗资金包括比特币、以太坊、莱特币、狗狗币与比特现金等多个主流资产,资金流经多家即刻兑换所后最终进入混币服务Tornado Cash。区块链分析师ZachXBT率先披露了这一异常资金流动,并指出作案手法与以往被归于朝鲜民主主义人民共和国(DPRK)国家支持的"Lazarus"网络窃贼极为相似。该案在时间点与手法上与2024年至2025年间朝鲜网络攻击活动呈现持续增长的趋势高度吻合,进一步暴露出跨国加密资产安全、刑事追查与监管执行之间的多重挑战。 这次针对SBI Crypto的攻击并非孤立事件。近几年,针对加密行业的国家支持级黑客活动规模持续扩大,累积被盗金额高达数十亿美元。
朝鲜被多次指认为策划并实施这些攻击的主要责任方,其作案目的并非单纯的经济犯罪,而是通过盗窃与洗钱获取外汇收入,补充国家财政开支与军事项目经费。2025年上半年,仅朝鲜相关黑客活动就被链上取证与多家司法机构统计为数十亿美元级别的窃取额,呈现出从传统单点攻击向复杂跨链、社交工程与长期渗透并行发展的态势。 此次案件的关键技术细节值得关注。链上数据显示,SBI Crypto相关地址在9月24日出现异常出金,多个地址被系统性清空,资金首先在五家即刻兑换所间快速拆分与转换,以期降低单条链路被追踪的概率。随后资金被打包转入Tornado Cash。自2022年美国财政部对Tornado Cash实施制裁以来,该混币服务因频繁被不法资金利用而声名狼藉。
尽管其部分相关限制在2025年被美国法院解除,但混币器作为去中心化隐私工具的技术属性,使其在规避追踪方面仍具备一定效果,这也是黑客组织继续选择将赃款通过该类服务进行"去标记化"的原因之一。 值得强调的是,链上取证并非毫无回击之力。区块链具有可追踪、可审计的本质,这使得尽管黑客利用混币器等工具进行转移,资金在流动路径上的时间戳、交易结构与地址签名仍然为法务、制裁与取证提供了线索。专业的区块链取证公司通过对交易模式、地址聚类、标签化与与先前攻击行为对比,可以构建出疑似攻击者的画像与资金流向地图。ZachXBT的分析即基于这些技术方法,识别出与以往朝鲜相关攻势的相似"数字指纹"。不过,这类取证常常面临跨司法区的合作难题、即时兑换所的合规差异与匿名服务快速迭代等阻碍。
除了技术层面的入侵与洗钱手段,朝鲜网络行动的战术谱系也在不断扩展。公开情报显示,该国不仅依赖传统黑客窃取私钥或入侵交易服务端点,还采取更隐蔽的社交工程与渗透途径。2025年间曝光的多个案件揭示,朝鲜涉案人员以"假招聘"与"假技术人员"身份长期渗透区块链企业与项目,伪造身份、购买社保号码并在职业社交平台上建立大量虚假账号,从内部获取敏感项目资料与代码访问权限。一旦获取登录凭证或通过钓鱼链接植入恶意程序,攻击者即可在关键时刻发起资金转移或后门安装,实现高价值偷窃。 "PylangGhost"等恶意软件家族的曝光进一步证实了攻击链的复杂性。该类攻击通过伪装成在线编程测试、视频面试平台或开发者工具,诱导目标安装带有后门或窃取浏览器扩展信息的恶意软件,进而获取冷钱包助记词或热钱包会话令牌。
这种方式对信任链的破坏极具隐蔽性,常常在受害企业毫无警觉的情况下完成长期潜伏与情报收集。 面对这一系列威胁,加密行业与监管机关的应对策略需要双重升级。交易所与资产管理机构必须在安全实践上做到更严格的多重签名与冷热分离,员工离职与外包人员访问权限管理需要实施零信任原则。对招聘渠道的背景审查也要延展到更深层次,包括对候选人提供的个人证件、社交媒体历史与过往项目代码的验证。对于使用智能合约与链上服务的企业,定期的代码审计、第三方安全评估与漏洞赏金机制仍然是降低被利用风险的基础设施投资。 监管与合规方面,跨国合作显得尤为重要。
朝鲜相关的网络犯罪往往跨越多个司法辖区,赃款通过全球化的即刻兑换与P2P市场迅速变形。各国执法机构需要建立更高效的情报共享机制,并在制裁名单与取证工具上保持技术与法律的及时更新。同时,即刻兑换所与中心化平台应被要求强化KYC/AML(了解客户/反洗钱)措施,并与区块链分析公司建立常态化的异常交易监控与快速冻结通道。 在司法层面,如何平衡去中心化技术的合法应用与打击非法资金流动之间的关系,仍然是一个难题。Tornado Cash的法律争议即是一例:作为隐私工具,它为合规的个人与组织提供了链上隐私保护;但一旦该类服务被不法分子大量利用,监管机构又必须权衡是否以制裁或封禁方式干预去中心化协议的运行。法院在评估技术中立性与公共利益之间的边界时,将面临复杂的法律与社会价值判断。
对普通加密用户而言,提高自身防护意识同样不可忽视。不要将所有资产长期存放在单一中心化平台或仅靠单一签名的钱包中;定期更新设备安全设置,谨慎点击来自面试或招聘的外部链接;在面对所谓"高薪远程开发职位"或"项目顾问邀请"时,多方核实对方公司背景与招聘渠道的真实性。加密社区内部的互助披露机制与黑名单共享对于阻止伪装身份的渗透者同样重要。 技术上,链上分析工具的发展为追踪赃款提供了日益强大的能力。通过对交易图谱的深度学习、对混币模式的识别与对地址行为的异常性评分,分析公司能够在赃款尚未完全洗白前识别关键枢纽并向执法机构报警。然而,这一过程也需谨防"误报"与隐私侵权,相关平台在提供可疑地址列表时应该建立透明的证据链与申诉机制。
从更宽广的地缘政治角度看,朝鲜通过网络窃取外汇的行为已经成为一种"准国策"融资手段。面对这种非军事但却高效的资金筹措方式,国际社会不仅需要在技术与执法层面形成合力,也要在外交、制裁与经济政策上寻求更有力的回应。对被指控的国家实体实施针对性制裁、限制与黑名单制度的扩张,以及对加密金融基础设施实施国际协作的合规框架,都是长期遏制此类活动的重要环节。 总的来看,SBI Crypto被盗并通过Tornado Cash洗钱的案件,再一次提醒业内与监管方:在区块链世界里,技术的中立性同时带来了透明与滥用的双面性。对抗高水平、国家支持的黑客组织,既需要更先进的技术取证能力,也需要更严密的组织防护与国际合作。加密企业应将安全视为基本业务成本的一部分,监管机构应在保护创新与打击犯罪之间找到平衡点,而用户则需要不断提升个人数字安全素养。
未来若要显著降低此类事件的发生,必须推动行业建立更成熟的信任基础设施:更强的链下实名体系、更高效的跨境司法协作、更完善的合规与披露机制,以及在去中心化工具使用上达成国际共识的治理框架。只有当技术、监管与商业实践三方同步进化,才能抑制以国家为背景的网络劫掠行为,并保障区块链技术健康发展与金融体系的整体安全。 。
