去中心化錢包應用 Zerion 於 4 月公布安全事件事後報告,確認一名團隊成員的裝置遭到與北韓相關駭客以 AI 輔助社交工程攻擊入侵,導致公司內部熱錢包損失約 10 萬美元。Zerion 強調所有使用者資金完全未受影響,其錢包採完全自我託管架構,任何團隊成員均無法存取使用者私鑰或助記詞。
(前情提要:Drift 被駭了2.7億鎂!背後元兇是「多簽錢包一週前可疑轉移」和核心成員離職有關?)
(背景補充:北韓工程師滲透幣圈七年、40 個 DeFi 協議受害:Lazarus 外包給非朝籍人員,防禦策略已過期)
Zerion 在 4 月公布的官方事後報告中指出,上週一名團隊成員的裝置遭到入侵,攻擊者和北韓駭客相關,手法為「AI 輔助社交工程攻擊」,與 SEAL(Security Alliance,由 Paradigm 等機構支援的加密白帽聯盟)過去調查的案例相似。此次入侵導致公司用於測試與內部用途的熱錢包(hot wallet,即連線狀態的公司內部錢包)損失約 10 萬美元,不涉及任何使用者資產。
— Zerion (@zerion) April 14, 2026
攻擊者偷到了什麼?
報告說明,攻擊者透過社交工程手法成功入侵該名員工的裝置,取得其部分已登入的 session(工作階段)、認證憑證,以及公司熱錢包的私鑰。這三項要素足以讓攻擊者動用公司的內部測試資金。
不過,損失範圍沒有進一步擴大,Zerion 說明主要有隔離設計,行動應用程式與瀏覽器擴充功能的版本建構(build)為獨立隔離,攻擊者即便取得部署憑證,也無法將惡意版本推送至正式環境,Zerion 表示在發現憑證遭竊後已立即鎖定部署基礎設施。
此外後端 API 與內部服務也屬完全隔離架構,且 Zerion 的錢包採完全自我託管設計,團隊任何成員本就不持有使用者私鑰。
後期處理
Zerion 在事後報告中列出六項應對措施,時序上大多在發現入侵後即時執行:
- 鎖定部署基礎設施:確認憑證遭竊後立即封鎖,防止惡意版本被推送至正式域名。
- 將 web app 切換至維護模式:主動下線以降低攻擊面,預計 48 小時內恢復。
- 輪換所有受影響憑證:所有私鑰與可能遭曝露的認證資訊全數替換,多簽帳號重新設定。
- 全員裝置掃描:所有團隊成員執行指令碼掃描裝置,排查類似惡意軟體,並評估所有關鍵存取點的憑證輪換需求。
- 與安全合作夥伴協作:聯絡 Blockaid、ZeroShadow、ChainPatrol 協助識別、標記並下架攻擊者錢包與帳號,其中 Blockaid 已獨立標記並封鎖 app.zerion.io 域名。
- 向執法機構通報攻擊者錢包地址:Zerion 表示已追蹤到被盜資金的具體地址,並通報相關執法機關。
北韓 4 月的第四起 AI 社工攻擊
Zerion 將此次事件定性為「AI 輔助社交工程攻擊」並歸因 DPRK,使這起事件成為 4 月加密圈遭受類似手法攻擊的第四個案例。
依照日期,4 月 1 日 Drift Protocol 損失 2.85 億美元,TRM Labs 與 Drift 將其歸因於北韓關聯組織 UNC4736,調查指攻擊者以長達六個月的社工潛伏取得存取許可權;3 月 31 日 Axios npm 套件供應鏈遭入侵,UNC1069(另一 DPRK 關聯組織)架設假冒 Slack 工作區與偽裝 Microsoft Teams 更新提示散布遠端存取木馬(RAT);3 月 Bitrefill 遭駭,歸因北韓駭客軍團 Lazarus。
Google Cloud 於 2026 年 2 月發布的報告指出,UNC1069 已在攻擊中採用 AI 誘餌,包括客製化 LinkedIn 訊息與 deepfake(AI 深偽)面試影片,專門針對加密產業。
Zerion 在事後報告結尾也提出同一警示:「提防在會議場景中出現的 AI 生成影片。」指的是 deepfake 視訊會議這個具體攻擊的能力。
📍相關報導📍
幣託BitoPro遭駭調查是北韓拉撒路Lazarus!社交工程攻擊竊走1150萬美元
鏈上偵探ZachXBT砲轟Circle!Drift 被駭數千萬 USDC「數個小時沒人管」
Anthropic發布Mythos之時,會是DeFi的核爆時刻嗎?
