加密战犯:起底朝鲜 Lazarus 黑客组织

一、从一场“例行交易”开始的 15 亿美元大劫案

2025 年 2 月，一笔看似普通的冷钱包出金交易，在加密交易所 Bybit 的系统中悄然生效。没有高风险预警、没有权限异常，却最终导致超过 40 万枚 ETH —— 价值超过 15 亿美元 —— 被转入一个陌生地址。资金被迅速拆分、换币、跨链跳转，三小时内踪迹难寻。

起初，人们以为这又是一场内鬼事件。但 72 小时后，美国联邦调查局（FBI）联合情报机构公开通报：此次攻击正是**朝鲜黑客组织 Lazarus Group（又称 APT38）**所为，是“该组织有史以来最复杂、最精准的链上金融战”。

Bybit 事件震惊了整个加密行业。它不仅再次打破了区块链安全的幻想，更标志着 Lazarus 正式从“DeFi攻击者”升级为“中心化金融基础设施劫持者”。而他们的目标，早已不再是金钱本身。

二、他们是谁？Lazarus，不只是黑客

Lazarus 不是一个匿名黑客联盟，而是一个国家行为体。它被美国财政部、联合国安理会及全球多家情报机构确认，隶属于朝鲜侦察总局 Reconnaissance General Bureau，服务于为朝鲜政府规避国际制裁、创收外汇的战略目标。

这个组织并非一日而成。自 2007 年起，Lazarus 就活跃在全球网络战场，从勒索软件、银行电汇欺诈，再到加密货币交易所攻击，一路演化。它的内部分工严密，已知的下属单位包括：

• APT38：专注于金融系统攻击，如银行电汇系统（SWIFT）与加密资产盗窃；

• BlueNoroff：擅长高级钓鱼和恶意软件注入；

• Andariel：主要负责对南韩及军事目标的网络情报活动。

与多数以盈利为目的的民间黑客不同，Lazarus 背后有明确的国家意志：绕过美元结算体系，为朝鲜输血。据联合国报告，仅 2022 年，他们通过链上攻击就为朝鲜带来超过 10 亿美元的非法收益。

三、他们是怎么一步步成长为“国家级链上幽灵”的？

Lazarus 的崛起不是偶然，而是长期制裁下的战略转型。这个组织的演进轨迹，是一条“黑色金融军工一体化”的成长路径：

1. 2007–2014：从“间谍单位”起步

最初作为朝鲜侦察总局的网络部门存在，专注于南韩政府与军事网站攻击。行动多为破坏与监听，尚未进入金融领域。

2. 2015–2016：转向金融系统攻击

2016 年震惊世界的孟加拉央行 SWIFT 欺诈案，盗走 8100 万美元，被普遍认为是 Lazarus 的杰作。他们首次展示了对银行系统的深度理解与执行力。

3. 2017–2019：勒索病毒横行

2017 年，WannaCry 勒索病毒席卷全球，虽最终收益有限，但奠定了 Lazarus 在“黑产即服务”上的实验经验。同阶段开始试探性入侵加密交易所。

4. 2020–2022：系统性进军加密货币

Ronin 桥、KuCoin、Harmony 被连续攻破。他们熟练掌握多签、预言机、合约逻辑，开始大规模部署洗钱通道，如 Tornado Cash 和跨链桥。

5. 2023–2025：全面链上化

攻击目标从 DeFi 项目升级到中心化平台冷钱包；行动路径多链化、模块化、自动化，完全具备国家级数字金融作战能力。

四、复盘三场关键战役：他们怎么偷钱的？

1. 2025 年 Bybit 冷钱包攻击案（15 亿美元）

• 利用社工诱导第三方托管服务商 Safe{Wallet} 的工程师安装恶意软件；

• 窃取 AWS 凭证，篡改 S3 上托管的 JavaScript 文件，注入逻辑漏洞；

• 在例行冷钱包多签出金中重定向交易流向；

• 资金转入 Lazarus 地址后，迅速跨链跳转并混币分拆。