朝鲜黑客七年进化史:从偷交易所到偷 AI
用 MerkleClaw 追踪 Lazarus Group 的链上痕迹
声明:本文所有情报来源于公开数据、OFAC 制裁公告及已发布的安全研究报告。本文不包含任何机密信息,仅用于安全研究与教育目的。
你追不上的对手,在认真赚钱
2025 年 2 月,Bybit 在 30 分钟内损失 14.36 亿美元。
负责这次行动的,是朝鲜国家黑客组织 Lazarus Group(APT38)——世界上最高产的加密盗窃机器。
不是黑产团伙,是国家队。不是随机攻击,是有预算、有分工、有 KPI 的融资行动。
关键数字:
- 2009年至今累计盗窃估计超 $50 亿美元
- 2025 年单年超 $15 亿
- OFAC 已制裁 3000+ 个关联地址
- 2026年3月最新一批制裁:6名个人 + 2个实体
本文将拆解 Lazarus Group 七年攻击手法演进,以及 MerkleClaw 如何追踪他们留下的链上痕迹。
七年战绩:从千万到十亿
| 时间 | 目标 | 损失 | 核心手法 |
|---|---|---|---|
| 2016 | Bitfinex | $7,200万 | 多签漏洞 |
| 2018 | Coincheck | $5.34亿 | 热钱包私钥泄露 |
| 2020 | KuCoin | $2.81亿 | 私钥泄露 |
| 2022 | Ronin Bridge | $6.24亿 | 9/5 多签节点控制 |
| 2023 | Atomic Wallet | $1亿 | 供应链攻击 |
| 2025 | Bybit | $14.36亿 | Safe{Wallet} 前端多签钓鱼 |
单次攻击金额从 7200 万跃升至 14 亿——这不是运气,是系统性能力提升。
四个阶段:手法越来越难追
阶段 1(2016–2019):直接偷私钥
手法:渗透交易所内网,窃取热钱包私钥
特征:资金从单一地址流出,痕迹相对明显
典型案例:Coincheck $5.34亿,Bithumb 多次
MerkleClaw 追踪视角:这个阶段资金流出路径简单,直接输入被盗地址即可完整还原资金分散路径。地址聚类通常能将上百个中间地址归入同一实体。
阶段 2(2020–2022):跨链桥多签攻击
手法:长期潜伏,逐步控制跨链桥验证节点
Ronin Bridge 案例:攻击者在数月内悄悄控制了 9 个验证节点中的 5 个,然后一次性提款 $6.24 亿
特征:攻击前有测试转账行为,资金通过多链分散
MerkleClaw 追踪视角:开启多链追踪模式,跨链桥合约地址自动标注。攻击前的小额测试转账($0.01-$1)会被系统标记为"攻击前侦察行为"——这是 DPRK 攻击的高置信度特征。
阶段 3(2022–2024):供应链 + 社会工程
手法:伪造开发者身份,发送含恶意代码的求职材料,渗透目标组织内部
典型案例:3CX 供应链攻击、Atomic Wallet
特征:攻击目标由"协议"转向"人",从链下入手,链上出货
MerkleClaw 追踪视角:这个阶段的攻击起点在链下,但出金路径依然在链上留有痕迹。资金出现时往往通过批量分散(50-200 个中间地址)规避监控——MerkleClaw 的 AI 聚类功能可将这些地址归入同一实体,重建资金路径。
阶段 4(2025–2026):多签界面钓鱼 + AI 升级
Bybit $14.36亿 的攻击逻辑:
- 入侵 Safe{Wallet} 前端,篡改交易界面
- Bybit 签名者看到的是"正常内部转账"
- 实际签名的是将资金转移给攻击者的恶意交易
- 多个签名者在不知情的情况下"授权"了盗窃
2026 年新动向:
- AI 辅助生成更精准的钓鱼内容
- 开始渗透 AI Agent 基础设施——如果 AI Agent 获得链上操作权限,DPRK 的凭证窃取能力将直接转化为资金盗窃能力
- DPRK IT 工人网络扩大,已渗透传统金融机构加密业务部门
MerkleClaw 追踪视角:Bybit 攻击后,MerkleClaw 实时同步了 OFAC 最新制裁地址(3273条 L1 黑名单)。攻击资金进入这些地址时,系统自动触发高风险预警(红色节点),并建议执法机构的冻结申请优先级。
Lazarus 的链上行为指纹
追踪 DPRK 攻击的关键,是识别其固定的链上行为模式:
攻击前信号
- 小额测试转账:攻击前数天到数周,向目标地址发送 $0.01–$1 的测试交易
- 连接测试:批量调用目标合约的只读函数,检测安全机制
攻击后资金流转
攻击获得 ETH/BTC
↓(数分钟内)
快速兑换为 USDT 或主流币(自动化脚本)
↓
批量分散至 50-200 个中间地址
↓
混币层:Tornado Cash / RailGun / Wasabi / THORChain 跨链
↓
多层中转(4-6跳)
↓
出金:HTX / OKX / MEXC / 中国或俄罗斯 OTC
↓
法币 → 朝鲜国库平均洗钱周期:14 天
平均活跃时区:UTC 00:00–08:00(平壤工作时间)
MerkleClaw 追踪视角:时区活动规律是重要的归因信号。MerkleClaw 的交易时间戳分析功能可自动标注高风险地址的活动时区,配合行为指纹库,生成 DPRK 关联置信度评分。
OFAC 最新制裁(2026-03-12)
美国财政部 OFAC 于 2026 年 3 月 12 日新增制裁:
- 6 名个人 + 2 个实体——DPRK IT 工人欺诈网络
- 该网络通过伪装成软件开发者,为朝鲜武器计划筹集外汇
- MerkleClaw 黑名单已于当日同步更新
📌 对交易所和机构的意义:任何与这些地址的交互都构成 OFAC 违规风险,建议立即检查历史交易记录。
你现在能做什么
交易所 / 机构合规团队:
- 将 OFAC 3273 条 DPRK 制裁地址集成至 KYT 监控系统
- 多签操作前,在隔离设备独立验证交易哈希(Bybit 教训)
- 招聘流程增加视频面试 + 现场代码评审(识别 DPRK IT 工人)
DeFi 协议:
- 审计跨链桥多签节点分布,避免单一实体控制超 30%
- 前端代码部署增加签名验证(防止 Safe{Wallet} 式篡改)
AI Agent 开发者(2026 新增):
- 审查 Agent 使用的第三方 Skill 来源
- 配置目录设置文件完整性监控
- API 密钥定期轮换,设置异地访问告警
链上追踪不是结局,是起点
Lazarus Group 的每一次攻击都留下了链上痕迹。有些已经追到,有些仍在等待分析师。
🦞 链上的每一笔钱,都逃不过爪子。
延伸阅读
- $1.5 亿美元,48 小时:用 MerkleClaw 追踪 Bybit 黑客事件
- 混币器穿透技术详解 (即将发布)
- 执法机构如何使用链上证据起诉 (即将发布)