Zerion 員工遭北韓 AI 社交工程攻擊！熱錢包損失約 10 萬美元，使用者資金未受影響

去中心化錢包應用 Zerion 於 4 月公布安全事件事後報告，確認一名團隊成員的裝置遭到與北韓相關駭客以 AI 輔助社交工程攻擊入侵，導致公司內部熱錢包損失約 10 萬美元。Zerion 強調所有使用者資金完全未受影響，其錢包採完全自我託管架構，任何團隊成員均無法存取使用者私鑰或助記詞。 （前情提要：Drift 被駭了2.7億鎂！背後元兇是「多簽錢包一週前可疑轉移」和核心成員離職有關？） （背景補充：北韓工程師滲透幣圈七年、40 個 DeFi 協議受害：Lazarus 外包給非朝籍人員，防禦策略已過期）   Zerion 在 4 月公布的官方事後報告中指出，上週一名團隊成員的裝置遭到入侵，攻擊者和北韓駭客相關，手法為「AI 輔助社交工程攻擊」，與 SEAL（Security Alliance，由 Paradigm 等機構支援的加密白帽聯盟）過去調查的案例相似。此次入侵導致公司用於測試與內部用途的熱錢包（hot wallet，即連線狀態的公司內部錢包）損失約 10 萬美元，不涉及任何使用者資產。 https://t.co/SOCjuk0VZi — Zerion (@zerion) April 14, 2026 攻擊者偷到了什麼？ 報告說明，攻擊者透過社交工程手法成功入侵該名員工的裝置，取得其部分已登入的 session（工作階段）、認證憑證，以及公司熱錢包的私鑰。這三項要素足以讓攻擊者動用公司的內部測試資金。 不過，損失範圍沒有進一步擴大，Zerion 說明主要有隔離設計，行動應用程式與瀏覽器擴充功能的版本建構（build）為獨立隔離，攻擊者即便取得部署憑證，也無法將惡意版本推送至正式環境，Zerion 表示在發現憑證遭竊後已立即鎖定部署基礎設施。 此外後端 API 與內部服務也屬完全隔離架構，且 Zerion 的錢包採完全自我託管設計，團隊任何成員本就不持有使用者私鑰。 後期處理 Zerion 在事後報告中列出六項應對措施，時序上大多在發現入侵後即時執行： 鎖定部署基礎設施：確認憑證遭竊後立即封鎖，防止惡意版本被推送至正式域名。 將 web app 切換至維護模式：主動下線以降低攻擊面，預計 48 小時內恢復。 輪換所有受影響憑證：所有私鑰與可能遭曝露的認證資訊全數替換，多簽帳號重新設定。 全員裝置掃描：所有團隊成員執行指令碼掃描裝置，排查類似惡意軟體，並評估所有關鍵存取點的憑證輪換需求。 與安全合作夥伴協作：聯絡 Blockaid、ZeroShadow、ChainPatrol 協助識別、標記並下架攻擊者錢包與帳號，其中 Blockaid 已獨立標記並封鎖 app.zerion.io 域名。 向執法機構通報攻擊者錢包地址：Zerion 表示已追蹤到被盜資金的具體地址，並通報相關執法機關。 北韓 4 月的第四起 AI 社工攻擊 Zerion 將此次事件定性為「AI 輔助社交工程攻擊」並歸因 DPRK，使這起事件成為 4 月加密圈遭受類似手法攻擊的第四個案例。 依照日期，4 月 1 日 Drift Protocol 損失 2.85 億美元，TRM Labs 與 Drift 將其歸因於北韓關聯組織 UNC4736，調查指攻擊者以長達六個月的社工潛伏取得存取許可權；3 月 31 日 Axios npm 套件供應鏈遭入侵，UNC1069（另一 DPRK 關聯組織）架設假冒 Slack 工作區與偽裝 Microsoft Teams 更新提示散布遠端存取木馬（RAT）；3 月 Bitrefill 遭駭，歸因北韓駭客軍團 Lazarus。 Google Cloud 於 2026 年 2 月發布的報告指出，UNC1069 已在攻擊中採用 AI 誘餌，包括客製化 LinkedIn 訊息與 deepfake（AI 深偽）面試影片，專門針對加密產業。 Zerion 在事後報告結尾也提出同一警示：「提防在會議場景中出現的 AI 生成影片。」指的是 deepfake 視訊會議這個具體攻擊的能力。 相關報導 幣託BitoPro遭駭調查是北韓拉撒路Lazarus！社交工程攻擊竊走1150萬美元 鏈上偵探ZachXBT砲轟Circle！Drift 被駭數千萬 USDC「數個小時沒人管」 Anthropic發布Mythos之時，會是DeFi的核爆時刻嗎？ 完全指南：AI+NFT能碰撞出怎樣的火花？演演算法整理、生成方式教學.. 灰度報告：為什麼加密貨幣能幫助 AI 人工智慧走上對的道路？〈Zerion 員工遭北韓 AI 社交工程攻擊！熱錢包損失約 10 萬美元，使用者資金未受影響〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。