朝鲜刚刚通过两次攻击从加密货币中窃取了 5.77 亿美元，具体方式如下

2026 年 4 月，两起价值 5.77 亿美元的黑客攻击占今年所有加密货币盗窃事件的 76%。两者都是朝鲜拉撒路集团的作品。

两者都不是智能合约漏洞。攻击者花了六个月的时间冒充一家贸易公司，亲自参加加密货币会议，并与 Drift Protocol 的工程师建立了真正的关系，然后提取了他们所需的签名，在 12 分钟内盗取了 2.85 亿美元。

另一次攻击从一个易受攻击的网桥节点损失了 2.92 亿美元。这不再是一个加密安全问题。这是一项由国家资助的情报行动，由一个国家运营，并利用所得收益为其武器计划提供资金。业界才刚刚开始承认这一点。

四月十二分钟

世界标准时间 2026 年 4 月 1 日 16:06:09，攻击者耗尽了 Solana 上最大的去中心化永续期货交易所 Drift Protocol 的主要金库中约 2.85 亿美元的用户资产。首次提现转移了 4172 万个 JLP 代币。最后移动 2,200 美元包装 ETH。整个金库在十二分钟内就被清空了，大约是写一条长短信的时间。

该团队在几小时内就在 X 上发布了第一份公开声明，要求社区确认他们所看到的异常活动不是愚人节玩笑。事实并非如此。这是朝鲜政府工作人员六个月有条不紊准备的成果。

刚刚：Drift Protocol 宣布所有受 4 月 1 日漏洞影响的钱包都将收到恢复代币，每个代币代表经过验证的损失和比例恢复池索赔 pic.twitter.com/DRv4A61nBu

— crypto.news (@cryptodotnews) 2026 年 5 月 5 日

17 天后，即 4 月 18 日，攻击者通过操纵 LayerZero 桥中的单验证者配置，从 KelpDAO（一种重新抵押协议）中盗取了 2.92 亿美元。这两次攻击加起来约占 4 月份 6.25 亿美元加密货币盗窃案的 95%，这使得 2026 年 4 月成为有记录以来加密安全最糟糕的月份。截至 4 月份，年初至今盗窃金额已超过 10 亿美元。 TRM Labs 将 2026 年总数的 76% 归因于两次攻击。两者都是同一威胁行为者所为。

新消息：KelpDAO 将 rsETH 转移至 Chainlink CCIP，称 LayerZero 基础设施是 4 月份价值超过 3 亿美元的 DeFi 漏洞利用来源 pic.twitter.com/6pjFShk30N

— crypto.news (@cryptodotnews) 2026 年 5 月 6 日

这个威胁者就是“拉撒路集团”，这是西方情报机构用来进行国家资助的黑客行动的总称，该行动由朝鲜主要情报机构侦察总局负责。自 2017 年以来，Lazarus 及其子公司已窃取超过 60 亿美元的加密货币。

根据 Chainaanalysis 的数据，仅在 2025 年，其中就有 20.6 亿美元被盗，这主要是由于当年 2 月发生的灾难性的、价值 15 亿美元的 Bybit 黑客攻击事件，这是历史上最大的加密货币盗窃案。 2026 年的进度使该集团有望轻松超过 2025 年的总数。

这不是任何传统意义上的加密安全故事。 DeFi 协议如今面临的威胁并不是它们原本要防御的威胁。 2020 年时代的担忧是智能合约错误、闪电贷漏洞和代码漏洞。 2026 年的现实是由情报专业人员进行持续的、多国、数月的行动，他们不需要代码漏洞，因为他们已经拥有密钥。他们只需要说服某人交出他们即可。

这就是漂移攻击。理解它是任何加密货币持有者、构建者或高管现在可以获得的最重要的安全教育。

漂移操作，一步一步

Drift Protocol 于 4 月初发布的事后分析报告读起来更像是一份反情报报告，而不是一份安全披露报告。时间从 2025 年 10 月开始。

在一次重要的加密货币会议上，一群自称是量化交易公司代表的人接触了 Drift 贡献者。他们验证了专业背景，展示了技术的流畅性，并提出了真正的机构交易公司在与永续协议集成时会提出的各种问题。定期处理此类请求的 Drift 贡献者像对待任何其他潜在的机构合作伙伴一样对待他们。

德里夫特此后澄清说，参加这些面对面会议的人不是朝鲜国民。 Lazarus 的运营几乎总是使用第三方中介机构进行面对面的接触，而实际的技术操作人员则留在朝鲜或中国境内。多年来一直跟踪朝鲜加密货币运营的区块链调查员 ZachXBT 指出，这种分层身份结构是 Lazarus 活动的定义特征之一。

第一次会议结束后，小组并没有停下来。在六个月的时间里，相同的特工或具有相同身份的特工出现在多个全球行业活动中，加深了与特定 Drift 贡献者的关系。成立了一个 Telegram 群组