朝鲜扩大DPRK加密货币盗窃行动，2025年创纪录盗取20.2亿美元

Peningkatan penggunaan blockchain dan harga aset digital yang lebih tinggi bertepatan dengan peningkatan mendadak dalam kecurian kripto DPRK, membentuk semula risiko global merentasi perkhidmatan berpusat, DeFi, dan dompet peribadi.

Lebih $3.4 bilion dicuri pada 2025 ketika kecurian kripto berubah

Menurut laporan baharu oleh Chainalysis, sektor kripto menyaksikan lebih daripada $3.4 bilion dicuri antara Januari dan awal Disember 2025, dengan pelanggaran Bybit pada Februari sahaja bertanggungjawab untuk $1.5 bilion. Walau bagaimanapun, di sebalik angka tajuk utama ini, struktur jenayah kripto telah berubah dengan ketara dalam tempoh tiga tahun sahaja.

Tambahan pula, kompromi dompet peribadi telah meningkat sebagai bahagian daripada jumlah kecurian keseluruhan. Ia meningkat daripada 7.3% daripada nilai yang dicuri pada 2022 kepada 44% pada 2024. Pada 2025, ia akan menyumbang 37% daripada jumlah kerugian jika kompromi Bybit tidak begitu banyak memesongkan data.

Perkhidmatan berpusat, walaupun dengan sumber yang mendalam dan pasukan keselamatan profesional, terus mengalami kerugian yang semakin besar yang didorong oleh kompromi kunci peribadi. Walaupun insiden sedemikian jarang berlaku, ia tetap dahsyat. Pada Q1 2025, ia mewakili 88% daripada semua kerugian, menggariskan risiko sistemik yang dicipta oleh satu titik kegagalan.

Walau bagaimanapun, kegigihan jumlah kecurian yang tinggi menunjukkan bahawa walaupun amalan yang lebih baik dalam beberapa segmen, penyerang masih boleh mengeksploitasi kelemahan merentasi pelbagai vektor dan platform.

Mega-hack luar biasa mendominasi kecurian kripto

Kecurian kripto sentiasa condong ke arah segelintir pelanggaran yang besar, tetapi 2025 menetapkan tahap ekstrem yang baharu. Buat kali pertama, nisbah antara penggodaman terbesar dan insiden median melebihi 1,000x, berdasarkan nilai dolar AS dana pada masa kecurian.

Akibatnya, tiga penggodaman teratas pada 2025 menyumbang 69% daripada semua kerugian perkhidmatan. Walaupun kiraan insiden dan kerugian median cenderung bergerak dengan harga aset, skala outlier individu meningkat dengan lebih cepat. Risiko penumpuan ini bermakna bahawa satu kompromi kini boleh membentuk semula statistik kerugian tahunan untuk keseluruhan industri.

Korea Utara mengetuai landskap kecurian kripto global

Republik Rakyat Demokratik Korea (DPRK) kekal sebagai pelaku negara yang paling penting dalam jenayah aset digital. Pada 2025, penggodam Korea Utara mencuri sekurang-kurangnya $2.02 bilion nilai mata wang kripto, peningkatan sebanyak $681 juta berbanding 2024 dan kenaikan 51% tahun ke tahun dalam nilai yang diambil.

Operasi ini menjadikan 2025 tahun terburuk dalam rekod untuk kecurian berkaitan DPRK mengikut nilai. Tambahan pula, serangan DPRK mewakili rekod 76% daripada semua kompromi perkhidmatan, menolak jumlah kumulatif sempadan bawah yang dicuri oleh pelaku berkaitan Pyongyang kepada $6.75 bilion. Khususnya, rampasan rekod ini datang walaupun penilaian pengurangan mendadak dalam insiden yang disahkan.

Pengendali Korea Utara semakin mengeksploitasi salah satu vektor teras mereka: menanam pekerja IT di dalam bursa, penjaga, dan syarikat web3.

Sebaik sahaja di dalam, pekerja ini boleh memupuk akses istimewa, memudahkan pergerakan sisi, dan akhirnya mendalangi kecurian berskala besar. Serangan Bybit pada Februari 2025 berkemungkinan memperkuat kesan model penyusupan ini.

Walau bagaimanapun, kumpulan berkaitan DPRK juga telah menyesuaikan taktik kejuruteraan sosial mereka. Daripada sekadar memohon pekerjaan, mereka kini kerap menyamar sebagai perekrut untuk firma web3 dan AI terkemuka, mengadakan proses pengambilan palsu yang rumit. Ini sering berakhir dengan "pemeriksaan teknikal" yang memperdayakan sasaran untuk menyerahkan kelayakan, kod sumber, atau akses VPN dan SSO kepada majikan semasa mereka.

Di peringkat eksekutif, kempen kejuruteraan sosial yang serupa menampilkan jangkauan palsu daripada pelabur strategik atau pemeroleh yang sepatutnya.

Mesyuarat pembentangan dan proses pseudo-due diligence digunakan untuk menyiasat butiran sistem sensitif dan memetakan laluan akses ke dalam infrastruktur bernilai tinggi. Evolusi ini dibina secara langsung berdasarkan skim penipuan pekerja IT sebelumnya dan menyerlahkan fokus yang lebih ketat pada perniagaan AI dan blockchain yang penting secara strategik.

Sepanjang 2022–2025, penggodaman yang dikaitkan dengan DPRK secara konsisten menduduki jalur nilai tertinggi, manakala pelaku bukan negara menunjukkan pengagihan yang lebih normal merentasi saiz insiden. Corak itu menunjukkan bahawa apabila Korea Utara menyerang, ia lebih suka perkhidmatan berpusat yang besar dan menyasarkan kesan kewangan dan politik yang maksimum.

Satu ciri yang mencolok pada 2025 ialah jumlah rekod ini dicapai dengan operasi yang jauh lebih sedikit yang diketahui.

Pelanggaran Bybit yang besar nampaknya telah membenarkan kumpulan berkaitan DPRK untuk melaksanakan sebilangan kecil serangan yang sangat menguntungkan dan bukannya jumlah kompromi bersaiz sederhana yang lebih besar.

Corak pengubahan wang haram mata wang kripto DPRK yang tersendiri

Aliran masuk aset yang dicuri yang tidak pernah berlaku sebelum ini pada awal 2025 memberikan penglihatan yang luar biasa jelas tentang bagaimana pelaku berkaitan Pyongyang menggerakkan dana dalam skala besar. Corak pengubahan wang haram mata wang kripto mereka berbeza secara signifikan daripada kumpulan penjenayah lain dan terus berkembang dari semasa ke semasa.

Aliran keluar DPRK menunjukkan struktur kurungan yang tersendiri. Lebih sedikit daripada 60% jumlah bergerak dalam pemindahan di bawah $500,000, manakala pelaku dana yang dicuri lain menghantar lebih daripada 60% aliran mereka di rantai dalam tranche antara $1 juta dan $10 juta+.

Walaupun biasanya mencuri jumlah yang lebih besar, kumpulan DPRK memecahkan pembayaran kepada segmen yang lebih kecil, menunjukkan percubaan yang disengajakan untuk mengelak pengesanan melalui penstrukturan yang lebih canggih.

Tambahan pula, pelaku DPRK secara konsisten memilih titik sentuh pengubahan wang haram tertentu.

Mereka sangat bergantung pada perkhidmatan pergerakan wang dan jaminan berbahasa Cina, sering beroperasi melalui rangkaian pengubah wang haram profesional yang disambungkan secara longgar yang piawaian pematuhannya boleh menjadi lemah. Mereka juga menggunakan secara meluas perkhidmatan jambatan dan pencampuran merentasi rantai, bersama dengan penyedia khusus seperti Huione, untuk meningkatkan kekaburan dan kerumitan bidang kuasa.

Sebaliknya, banyak kumpulan penjenayah lain lebih suka protokol pinjaman, bursa tanpa KYC, platform P2P, dan bursa terdesentralisasi untuk kecairan dan pseudonimiti. Entiti DPRK menunjukkan integrasi terhad dengan kawasan DeFi ini, menggariskan bahawa kekangan dan objektif mereka berbeza daripada penjenayah siber yang bermotivasi kewangan biasa.

Keutamaan ini menunjukkan bahawa rangkaian DPRK berkait rapat dengan pengendali haram merentasi rantau Asia-Pasifik, terutamanya dalam saluran berasaskan China yang menyediakan akses tidak langsung kepada sistem kewangan global. Ini selaras dengan sejarah Pyongyang yang lebih luas menggunakan perantara China untuk mengelak sekatan dan menggerakkan nilai di luar pesisir.

Kitaran pengubahan wang haram 45 hari selepas kecurian kripto DPRK

Analisis di rantai kecurian berkaitan DPRK antara 2022 dan 2025 mendedahkan kitaran pengubahan wang haram berbilang gelombang yang agak stabil yang berlangsung sekitar 45 hari. Walaupun tidak semua operasi mengikuti garis masa ini, ia muncul berulang kali apabila dana yang dicuri digerakkan secara aktif.

Gelombang 1, merangkumi hari 0 hingga 5, memberi tumpuan kepada pelapisan segera. Protokol DeFi melihat lonjakan sengit dalam aliran dana yang dicuri sebagai titik masuk awal, manakala perkhidmatan pencampuran merekodkan lonjakan jumlah besar untuk mencipta lapisan pertama kekaburan. Kepantasan pergerakan ini direka untuk menolak dana daripada alamat sumber yang mudah dikenal pasti.

Gelombang 2, meliputi hari 6 hingga 10, menandakan permulaan integrasi ke dalam ekosistem yang lebih luas. Bursa dengan kawalan KYC terhad, beberapa platform berpusat, dan pencampur sekunder mula menerima aliran, sering dipermudahkan oleh jambatan merentasi rantai yang memecahkan dan merumitkan jejak transaksi. Fasa ini adalah kritikal, kerana dana beralih ke arah off-ramp yang berpotensi.

Gelombang 3, bermula dari hari 20 hingga 45, menampilkan ekor panjang integrasi. Bursa tanpa KYC, perkhidmatan pertukaran segera, dan perkhidmatan pengubahan wang haram berbahasa Cina muncul sebagai titik akhir utama. Bursa berpusat juga semakin menerima deposit, mencerminkan usaha untuk menggabungkan hasil haram dengan aliran perdagangan yang sah, sering melalui pengendali dalam bidang kuasa yang kurang dikawal.

Tetingkap 45 hari yang luas ini menyediakan perisikan berharga untuk penguatkuasaan undang-undang dan pasukan pematuhan yang ingin mengganggu aliran dalam masa nyata. Walau bagaimanapun, penganalisis menyatakan titik buta yang penting: pemindahan kunci peribadi, tawaran OTC kripto-untuk-fiat tertentu, atau pengaturan di luar rantai sepenuhnya boleh kekal tidak kelihatan melainkan digandingkan dengan perisikan tambahan.

Kompromi dompet peribadi meningkat dalam jumlah

Di samping pelanggaran perkhidmatan berprofil tinggi, serangan terhadap individu telah meningkat dengan mendadak. Anggaran sempadan bawah menunjukkan bahawa kompromi dompet peribadi mewakili kira-kira 20% daripada jumlah nilai yang dicuri pada 2025, turun daripada 44% pada 2024, namun masih mencerminkan kerosakan berskala besar.

Kiraan insiden hampir tiga kali ganda daripada 54,000 pada 2022 kepada 158,000 pada 2025. Dalam tempoh yang sama, bilangan mangsa unik berganda daripada kira-kira 40,000 kepada sekurang-kurangnya 80,000. Peningkatan ini berkemungkinan mencerminkan penggunaan pengguna yang lebih luas bagi aset simpanan sendiri. Sebagai contoh, Solana, salah satu rantai dengan dompet peribadi yang paling aktif, merekodkan kira-kira 26,500 pengguna yang terjejas, jauh lebih banyak daripada rangkaian lain.

Walau bagaimanapun, jumlah nilai dolar yang hilang oleh individu jatuh daripada $1.5 bilion pada 2024 kepada $713 juta pada 2025. Ini menunjukkan penyerang menyebarkan usaha merentasi lebih banyak mangsa sambil mengekstrak jumlah yang lebih kecil bagi setiap akaun, berpotensi untuk mengurangkan risiko pengesanan dan mengeksploitasi pengguna yang kurang canggih.

Metrik jenayah peringkat rangkaian menerangi rantai mana yang kini menunjukkan risiko pengguna terbesar. Pada 2025, apabila mengukur kecurian setiap 100,000 dompet, Ethereum dan Tron menunjukkan kadar jenayah tertinggi. Skala Ethereum yang luas menggabungkan kiraan insiden yang tinggi dengan risiko setiap dompet yang meningkat, manakala Tron memaparkan kadar kecurian yang agak tinggi walaupun pangkalan aktif yang lebih kecil. Sebaliknya, Base dan Solana menunjukkan kadar yang lebih rendah walaupun komuniti pengguna mereka yang besar.

Perbezaan ini menunjukkan bahawa kompromi dompet peribadi tidak diedarkan sama rata merentasi ekosistem. Faktor seperti demografi pengguna, jenis aplikasi dominan, infrastruktur jenayah tempatan, dan tahap pendidikan berkemungkinan mempengaruhi di mana penipu dan pengendali perisian hasad menumpukan usaha mereka.

Penggodaman DeFi menyimpang daripada trend jumlah nilai terkunci

Sektor kewangan terdesentralisasi mempamerkan perbezaan yang ketara antara pertumbuhan pasaran dan hasil keselamatan. Data dari 2020 hingga 2025 mengesahkan tiga fasa yang jelas dalam hubungan antara jumlah nilai terkunci (TVL) DeFi dan kerugian berkaitan penggodaman.

Dalam Fasa 1, dari 2020 hingga 2021, TVL dan kerugian meningkat seiring ketika ledakan DeFi awal menarik kedua-dua modal dan penyerang yang canggih. Fasa 2, meliputi 2022 hingga 2023, menyaksikan kedua-dua TVL dan kerugian berundur apabila pasaran menyejuk. Walau bagaimanapun, Fasa 3, merangkumi 2024 dan 2025, menandakan pemecahan struktur: TVL telah pulih daripada paras rendah 2023, tetapi jumlah penggodaman kekal agak rendah.

Perbezaan ini membayangkan bahawa penambahbaikan keselamatan defi mula memberi kesan yang boleh diukur. Tambahan pula, peningkatan serentak serangan dompet peribadi dan penggodaman bursa berpusat membayangkan penggantian sasaran, dengan pelaku ancaman mengalihkan sumber ke arah kawasan yang dianggap lebih mudah untuk dikompromi.

Kajian kes: Venus Protocol menyerlahkan kemajuan pertahanan

Insiden Venus Protocol pada September 2025 menggariskan bagaimana pertahanan berlapis boleh mengubah hasil dengan bermakna. Penyerang menggunakan klien Zoom yang terjejas untuk mendapat kedudukan dan memanipulasi pengguna untuk memberikan kawalan delegasi ke atas akaun yang memegang $13 juta dalam aset.

Di bawah keadaan DeFi yang lebih awal, akses sedemikian mungkin mengakibatkan kerugian yang tidak boleh dipulihkan. Walau bagaimanapun, Venus telah mengintegrasikan platform pemantauan keselamatan hanya sebulan sebelumnya. Platform itu menandai aktiviti yang mencurigakan kira-kira 18 jam sebelum serangan dan mengeluarkan amaran lain apabila transaksi berniat jahat dikemukakan.

Dalam masa 20 minit, Venus menjeda protokolnya, menghentikan pergerakan dana. Fungsi separa kembali selepas kira-kira 5 jam, dan dalam masa 7 jam protokol secara paksa mencairkan dompet penyerang. Menjelang tanda 12 jam, semua dana yang dicuri telah dipulihkan dan operasi normal disambung semula.

Dalam langkah selanjutnya, tadbir urus Venus meluluskan cadangan untuk membekukan kira-kira $3 juta dalam aset yang masih di bawah kawalan penyerang. Musuh akhirnya gagal mendapat keuntungan dan sebaliknya menanggung kerugian bersih, mempamerkan kuasa yang semakin meningkat bagi tadbir urus di rantai, pemantauan, dan rangka kerja tindak balas insiden.

Walau bagaimanapun, kes ini tidak sepatutnya mewujudkan sikap puas hati. Ia menunjukkan apa yang mungkin apabila protokol melabur awal dalam pemantauan dan buku panduan yang dilatih, tetapi banyak platform DeFi masih kekurangan keupayaan yang setanding atau pelan kontingensi yang jelas.

Implikasi untuk 2026 dan persekitaran ancaman masa depan

Data 2025 menggambarkan ekosistem DPRK yang sangat mudah menyesuaikan diri, di mana operasi yang lebih sedikit masih boleh memberikan hasil rekod. Insiden Bybit, digabungkan dengan kompromi berskala besar lain, menunjukkan bagaimana satu kempen yang berjaya boleh mengekalkan keperluan pembiayaan untuk tempoh yang panjang sementara kumpulan memberi tumpuan kepada pengubahan wang haram dan keselamatan operasi.

Tambahan pula, profil unik kecurian kripto dprk berbanding aktiviti haram lain menawarkan peluang pengesanan yang berharga. Keutamaan mereka untuk saiz pemindahan tertentu, pergantungan berat pada rangkaian berbahasa Cina tertentu, dan kitaran pengubahan wang haram 45 hari yang ciri boleh membantu bursa, firma analitik, dan pengawal selia menandai tingkah laku yang mencurigakan lebih awal.

Memandangkan penggodam kripto Korea Utara terus menggunakan aset digital untuk membiayai keutamaan negara dan mengelak sekatan, industri mesti menerima bahawa musuh ini beroperasi di bawah insentif yang berbeza daripada penjenayah yang bermotivasi kewangan biasa. Prestasi rekod rejim pada 2025, dicapai dengan anggaran 74% lebih sedikit serangan yang diketahui, menunjukkan bahawa banyak operasi mungkin masih tidak dikesan.

Melihat ke hadapan ke 2026, cabaran utama adalah untuk mengenal pasti dan mengganggu operasi berimpak tinggi ini sebelum satu lagi pelanggaran berskala Bybit berlaku. Mengukuhkan kawalan di tempat berpusat, mengeras dompet peribadi, dan memperdalam kerjasama dengan penguatkuasaan undang-undang akan menjadi kritikal untuk membendung kedua-dua kempen negara dan gelombang jenayah kripto yang lebih luas.

Ringkasnya, 2025 mengesahkan bahawa walaupun pertahanan bertambah baik dalam bidang seperti DeFi, pelaku canggih seperti DPRK dan pencuri dompet berskala besar terus mengeksploitasi kelemahan struktur, menjadikan tindak balas global yang diselaraskan lebih mendesak berbanding sebelum ini.