数十亿人消失：无耻的加密货币抢劫归咎于流氓国家。

朝鲜在 Drift 进行的为期六个月的渗透活动让已经因数十亿美元的攻击而陷入困境的加密货币行业感到不安。

但随着消息的尘埃落定，一个更大的问题成为焦点：为什么朝鲜一开始就不断回归加密货币，为什么它的做法看起来与地球上所有其他国家支持的黑客行动如此不同？

根据安全专家的说法，简短的答案是，加密货币有助于为该政权提供收入来源并维持其生存。

SVRN 首席运营官、叶史瓦大学网络安全硕士项目创始人戴夫·施韦德 (Dave Schwed) 表示：“朝鲜没有足够的耐心。” “他们受到全面的国际制裁，他们需要硬通货来资助武器计划。联合国和多个情报机构已经确认，加密货币盗窃是他们核武器和弹道导弹开发的主要资助机制。”

这种紧迫性解释了长期以来令调查人员困惑的一个动态：为什么朝鲜黑客在公共区块链上进行大规模、可追踪的抢劫，而不是像其他国家行为者那样悄悄地使用加密货币来逃避制裁。

施韦德认为，答案是结构性的。俄罗斯仍然有经济：石油、天然气、大宗商品出口，以及愿意使用变通办法的贸易伙伴。它需要加密货币作为支付渠道，但除此之外不需要太多。伊朗也有货物可以运输——受制裁的石油、代理融资网络、中东各地自愿的中介机构。朝鲜几乎没有什么可以卖的了。

“他们的出口几乎完全受到制裁。他们没有一个需要支付通道的正常运转的经济。他们需要直接收入，”施韦德说。 “加密货币盗窃使他们能够在全球范围内立即获得流动价值，而无需愿意与他们开展业务的交易对手。”

这种区别——加密货币作为基础设施与加密货币作为目标——不仅是朝鲜与俄罗斯的区别，也是与伊朗的区别。虽然俄罗斯通过加密货币转移资金来规避制裁，伊朗也用它来资助整个中东的代理网络，但朝鲜正在开展更接近于国家支持的抢劫行动。

ENS 实验室首席信息安全官、伦敦国王学院网络安全教授 Alexander Urbelis 表示：“他们的目标是交易所、钱包提供商、DeFi 协议以及拥有签名权限或基础设施访问权限的个人工程师和创始人。” “受害者是持有密钥或访问持有密钥的基础设施的人。”

相比之下，俄罗斯和伊朗将加密视为偶然，是实现更广泛地缘政治目的的手段。

“俄罗斯的目标是选举、能源基础设施和政府系统。伊朗的目标是持不同政见者和地区对手，”乌贝利斯说。 “当他们中的任何一个接触加密货币时，都是为了转移资金，而不是从生态系统中窃取资金。”

这种单一的关注点促使朝鲜特工采取了与情报机构而非犯罪黑客更常见的策略：长达数月的关系建立、伪造身份和供应链渗透。

Drift 活动只是最新的例子。

“你并不是在防御来自随机诈骗者的网络钓鱼电子邮件，”乌贝利斯说。 “你正在防御一个花了六个月时间建立关系的人，专门为了危害一个拥有你需要保护的访问权限的人。”

加密货币自身的架构使其成为一个独特且有吸引力的狩猎场。在传统金融中，即使是成功的黑客攻击也会遇到合规性检查、代理银行检查、结算延迟以及逆转欺诈性转账的可能性等形式的摩擦。 2016 年，朝鲜黑客实施了孟加拉国银行抢劫案，抢劫案花了数天时间才处理完毕，大部分资金最终被追回或冻结。在加密货币中，协议级别不存在这些保护措施。

“一旦交易签署并确认，它就是最终的，”乌贝利斯说。去年早些时候，Bybit 漏洞在大约 30 分钟内转移了 15 亿美元，这一速度和规模在传统银行系统中几乎是不可能的。

这种最终性从根本上改变了安全计算。在银行业，可以在预防、检测和响应方面建立合理的防御，因为总有一个冻结资金或逆转电汇的窗口。在加密货币中，这个窗口几乎不存在，这意味着在攻击发生之前阻止它不仅是更好的选择，而且本质上也是唯一的选择。

尽管银行在数十年的监管指导和审计要求下运营，但许多加密货币项目仍在即兴发挥——通常优先考虑速度和创新，而不是治理和控制。

这种差距造成了一种环境，即使是经验丰富的团队也可能容易受到攻击，特别是面对朝鲜不断完善的长期渗透策略。

Urbelis 谈到该问题时表示：“这是目前加密领域最困难的操作安全问题。”