北韓 Lazarus Group 在 18 天內連續攻破 Drift 與 Kelp,合計捲走逾 5.75 億美元;CoinDesk 深度分析指出,這已不是個別事件,而是一場鎖定 DeFi 基礎設施層的系統性 campaign,揭露去中心化口號與真實架構之間的致命落差。
本文由動區動趨整理,編譯自 CoinDesk。
(前情提要:北韓駭客 2025 年盜竊創紀錄:竊取 20.2 億美元加密貨幣,洗錢週期約 45 天)
(背景補充:北韓政府利用駭客,竊取交易所近 430 億臺幣加密貨幣:用來資助大規模殺傷性武器)
區塊鏈安全公司 Chainalysis 資料顯示,北韓在 2025 年已竊取 20.2 億美元加密資產,累計總額突破 67.5 億美元,估計自 2017 年起有約 30 億美元流入核武計畫與規避制裁管道。而就在最新的兩起事件中,Lazarus 旗下 TraderTraitor 小組在不到三週內再度出手——4 月 1 日攻破 Drift(社工滲透治理簽名者),4 月 18 日攻陷 Kelp(毒化 LayerZero 跨鏈基礎設施),CoinDesk 報導,這場 18 天的掠奪讓整個加密生態損失逾 5.75 億美元。
外界起初將兩起事件視為獨立駭侵,但 CoinDesk 分析認為,這更像是一場由受制裁國家財務需求驅動的「持續性作戰」。Lazarus 的劇本正在升級——從過去針對交易所、釣魚單點破解,進化到系統性鎖定加密基礎設施的結構性弱點。
Kelp 怎麼被攻破:簽名保證作者,不保證真實
Kelp 是串接 LayerZero 跨鏈基礎設施的 restaking 協議。這次攻擊的技術路徑,CoinDesk 描述如下:攻擊者先 compromise 兩個 LayerZero DVN(去中心化驗證節點)的 RPC 節點,再對乾淨節點發動 DoS 洪水攻擊,強迫系統 failover 到已被毒化的備援節點。換言之,攻擊者並未破解密碼學,而是操縱餵給系統的資料,讓系統在不知情的狀況下批准根本未實際發生的跨鏈轉帳。
最終,約 116,500 枚 rsETH(流通量約 18%、市值約 2.92 億美元)遭到竊取。
ENS Labs 首席資訊安全官 Alexander Urbelis 對此直言不諱:「簽名保證的是作者,不是真實。一個被簽名的謊言仍然是謊言。」他指出,系統設計上只驗證訊息來自誰,卻不驗證訊息本身是否正確——這不是什麼巧妙的新型駭客手法,而是「攻擊系統被怎麼架起來」這件事本身。
不是新漏洞,是被忽略的舊弱點
區塊鏈安全公司 SVRN 營運長 David Schwed 同樣強調,這次攻擊的本質不在於技術突破:「這次攻擊不是在打破密碼學,是在利用系統被怎麼架起來的。」他警告,若業者識別出某個配置存在安全風險,就不應該將其作為出貨選項提供給使用者,「依賴每個人都讀檔案並做對的安全,根本不現實。」
Urbelis 則補充,這不是一連串偶發事件,而是有節奏的行動:「這不是一連串事件,是一種節奏。你不能靠打補丁應付採購時程。」對於 DeFi 生態而言,Kelp 的案例尤其值得警惕——這個漏洞沒有引入任何新弱點,只是再次展示了整個生態對已知弱點的暴露程度,尤其當安全被當成「建議」而非「強制要求」時。
連鎖崩塌:Aave 承壓,DeFi TVL 兩日蒸發 130 億美元
Kelp 事件的衝擊沒有止於單一協議。接受 rsETH 作為抵押品的借貸平台 Aave 首當其衝,面臨壞帳暴險壓力,48 小時記憶體款流出高達 84.5 億美元。整體 DeFi 總鎖倉量(TVL)從 9,950 億美元急跌至 8,630 億美元,兩日之內蒸發逾 130 億美元。
Schwed 以「欠條鏈」來比喻跨鏈 DeFi 的系統性脆弱:「這些資產是一串 IOU(欠條)。鏈只和每一環的控制一樣強。」當一環斷掉,整串都受影響。他也對 DeFi 「去中心化」的自我定位提出質疑:「單一驗證者不算去中心化,那是個集中化的去中心化驗證者。」
Lazarus 轉向「產業下水道」:複雜但致命的基礎設施層
CoinDesk 分析指出,早期加密駭客慣於鎖定交易所或程式碼明顯缺陷;Lazarus 近年則已大幅轉向「產業的下水道系統」——那些連線一切、但更難監控、更容易被錯誤配置的底層基礎設施,包括跨鏈橋、restaking 協議與 DVN 網路。這些層位於應用程式的下方,通常持有大量價值,卻因複雜度高而常被忽視,成為極具吸引力的攻擊目標。
Urbelis 對此提出一個核心命題:「去中心化不是系統擁有的一個屬性,是一連串選擇。整個技術堆疊只和其最集中的一層一樣強。」換言之,一個宣稱去中心化的協議,若其底層依賴少數幾個可被毒化的 RPC 節點,那去中心化的承諾在現實攻擊面前就形同虛設。
動區觀察:最大風險不是未知,是被忽略的已知
Lazarus 的持續適應能力,或許才是整個加密產業最需要正視的威脅。這場 18 天、5.75 億美元的掠奪,沒有用到任何「前所未見」的技術——它只是系統性地利用了已知配置風險、已知的信任假設、已知的 failover 機制弱點。
當安全只是檔案裡的「建議」,而不是架構設計的「前提條件」,Lazarus 的下一個獵場,恐怕已經開始尋找了。
📍相關報導📍
北韓駭客 2025 年盜竊創紀錄:竊取 20.2 億美元加密貨幣,洗錢週期約 45 天
北韓政府利用駭客,竊取交易所近 430 億臺幣加密貨幣:用來資助大規模殺傷性武器
【北韓駭客大軍】南韓情報機構表示:北韓駭客竊取了數十億韓元的加密貨幣
全球第六大「LuBian 路邊礦池」倒閉真相曝光:12.7 萬枚比特幣失竊,今價值 145 億美元(五年未動)
美國 Clarity Act 清晰度法案恐延期至 5 月!銀產業不滿「穩定幣收益」,Kelp DAO 又爆 2.9 億鎂駭案
