朝鲜黑客在2025年盗走21亿美元

事态发展

CertiK 的最新分析（经 Decrypt 报道，2026年5月12日）将2025年约21亿美元的加密货币被盗归因于与朝鲜（DPRK）相关的国家支持团体，约占去年损失的60%。这一归因意味着2025年加密资产被盗总额大致为35亿美元（2.1/0.60 = 3.5），这种集中度在多数早年被观察到的数据中显著更高。报告强调，这些行动使用了日益复杂的跨链洗钱网络，通过桥（bridges）、混合器（mixers）以及表面合规的中介机构转移价值。对机构风险管理者而言，该报告意味着对加密威胁格局的重新分类：主导的行为体现已是具有地缘政治目标并可动用国家资源的国家行为体。

该事态的重要性不仅体现在头条数字上，还体现在 CertiK 所描述的系统性转变。历史上私人网络犯罪团伙占据加密劫案的大部分，但2025年的分布指向风险向更难以用传统执法手段遏制的行为体集中，原因在于国家保护与国际制裁的复杂性。Decrypt 的文章引用了 CertiK 的取证方法论；关于21亿美元的主要来源仍为 CertiK 的公开声明与数据集（CertiK 经 Decrypt 报道，2026年5月12日）。市场参与者与合规模块应将此披露既视为对已知朝鲜战术的确认，也视为这些战术已实现规模化的证据。

就市场反应而言，短期表现较为温和：现货加密货币价格出现日内波动，但并未出现仅由该报告触发的持续单向走势。机构参与者更可能重新评估交易对手风险、托管安排以及跨链活动中隐含的敞口，而非在夜间改变宏观资产配置。话虽如此，一旦出现对大规模国家关联盗窃的归因，监管审查通常会随之而来——从额外制裁到对桥与隐私工具的限制，任何政策响应都将对 DeFi 与集中化交易所的流动性与估值产生二阶影响。有关相关监管趋势的背景与上下文，参见 相关话题。

背景

朝鲜利用网络驱动的金融犯罪并非新事物；归因团队与制裁机构多次将“Lazarus”等组织与过去十年的多起高调事件联系起来。历史范例包括2016年孟加拉国银行被盗——约8100万美元通过 SWIFT 系统被转移——以及2022年 Ronin 桥漏洞，导致约6.25亿美元从以太坊侧链被窃。这些事件为 CertiK 的2025年数据提供了背景：朝鲜的行为体长期将技术能力与战略需要结合，以在传统银行渠道之外获取坚挺货币。2025年损失集中于国家关联旗号，似乎是这一升级时间线的下一步。

地缘政治驱动因素是可量化的。对朝鲜民主主义人民共和国（DPRK）的国际制裁大幅压缩了合法出口收入；美国财政部与联合国小组多次记录朝鲜利用网络行动规避限制。在此环境下，持续且资金充足的努力以数字资产变现的动力显而易见。因此，应将 CertiK 的数据既视为网络安全发现，也视为宏观金融信号：它反映了地缘政治压力如何转化为数字金融流动。

从行业角度看，洗钱的机制已演进。2022–2025 年间，跨链桥在价值移动中占据不成比例的份额；尽管不同来源对2025年桥接总量的精确估算存在差异，CertiK 记录的模式显示资产流经多个网络以掩盖来源。实际后果是取证追踪更加耗费资源，同时这些流动的速度与自动化程度提高，增加了在拦截发生前被盗资产被重新代币化并消费的可能性。机构合规团队因此必须评估的不仅是托管问题，还包括链上资产的端到端所有权链风险。

数据深度分析

CertiK 的要点：2025 年与朝鲜相关团体盗取约21亿美元，加剧了该年全部加密损失的60%（CertiK，经 Decrypt 报道，2026年5月12日）。由此算术推断出2025年盗窃总额约为35亿美元。这些数字来源于链上追踪、聚类分析以及公开的交易所与混合器交互数据。CertiK 的方法论据称使用了地址聚类、跨链桥监控与对历史上与朝鲜有关实体的标记来归因资金流；公司同时指出，对个别事件的归因置信度存在差异，且链上混淆技术会降低确定性。

超出头条数字之外，被盗资产的分布显示出在少数桥与中介智能合约上的高度集中，这些成为洗钱的枢纽。CertiK 报告识别出重复模式：初始漏洞或入侵；向中介地址移动；转换为具隐私保护特性的代币或包装协议；随后跨链转移至对反洗钱（AML）执行有限的司法辖区或交易所。虽然 CertiK 在其公开简报中并未列出全部受影响的交易所名单，但报告强调应加强对桥的监控以及出金口（off-ramps）更严格的 KYC 执行。

相比之下，以往的私人犯罪组织往往通过集中化交易所或管控薄弱的场外（OTC）渠道变现，产生可识别的资金流，从而被监管机构与链上分析公司截断。CertiK 描述的国家关联模型更具工业化特征：单笔事件金额更大、层级化混淆更多、且在多起事件中重复使用相同基础设施。T