9
为什么世界上最大的加密货币黑客攻击总是与朴镇赫有关?从索尼到 Bybit,他是如何完美实施数十亿美元的网络盗窃的?
目录
2 月 21 日发生了一起令人震惊的事件,总部位于迪拜的著名加密货币交易所 Bybit 遭受了大规模网络攻击。
黑客成功入侵该公司的以太坊(ETH)冷钱包,盗走了约 15 亿美元的数字资产。这一事件现在被认为是加密货币历史上最大的盗窃案。
此次漏洞最先由链上分析师 ZachXBT 发现,他注意到 Bybit 账户中存在异常提款。
Bybit 首席执行官 Ben Zhou 随后证实,攻击者操纵了交易,欺骗钱包的签名者批准向未经授权的地址转账。
这种复杂的方法涉及掩盖交易以使其看起来合法,从而绕过现有的多重签名安全协议。
事后,区块链调查人员将这次攻击与朝鲜臭名昭著的拉撒路集团联系起来,该集团因策划重大网络盗窃而臭名昭著,包括 2022 年 6 亿美元的 Ronin Network 漏洞和 2024 年 2.34 亿美元的 WazirX 黑客攻击。
新兴报告表明,Lazarus 集团成员 Park Jin Hyok 可能是 Bybit 黑客事件的主谋。
Hyok 在网络犯罪界并不是一个新名字。2018 年,美国联邦调查局对他发出了通缉令,指控他是朝鲜政府支持的黑客组织的成员,该组织对历史上一些最具破坏性的计算机入侵事件负有责任。
让我们深入了解朴镇赫的背景、拉撒路集团的运营、他们过去面临的指控以及他们多年来遭受加密相关黑客攻击的历史。
据称,拉撒路集团得到了朝鲜政府的支持,策划了历史上最具破坏性的网络攻击,目标是全球金融机构和关键基础设施。
但在该组织的隐形行动背后,一个名字却一次又一次浮出水面——朴镇赫,一名朝鲜程序员,被指控领导了过去十年中一些最引人注目的网络盗窃事件。
该组织早期的攻击重点是间谍活动,从军方和企业实体收集情报。然而,随着时间的推移,该组织转向金融犯罪,从银行、加密货币交易所和其他数字金融平台窃取数十亿美元。
这一演变的一个关键转变伴随着 Bluenoroff 的出现而来,Bluenoroff 是 Lazarus 的一个专门从事金融网络攻击的分支机构,最早由网络安全公司卡巴斯基实验室发现。
研究人员将多起备受瞩目的黑客攻击与 Bluenoroff 联系起来,甚至发现了与朝鲜的直接 IP 关联。与此同时,他们警告说,一些模式可能是故意误导——旨在陷害平壤的假旗行动。
然而,Hyok 并非虚构身份。尽管朝鲜坚称他并不存在,但他确实存在,并且有充分证据表明他与 Lazarus 及朝鲜的网络战机构有关。
金赫毕业于平壤金策工业大学,他的职业生涯始于朝鲜博览会 (Chosun Expo),这是一家在朝鲜和中国运营的政府关联 IT 公司。
该公司被认为是政府支持的网络行动的幌子,为朝鲜招募精英程序员提供场地,负责根据朝鲜军事情报部门 110 实验室的指示执行网络攻击。
Hyok 的名字首次引起国际关注是在 2014 年臭名昭著的索尼影业黑客事件之后。
此次攻击是为了报复讽刺电影《采访》而进行的,它破坏了索尼的内部网络,泄露了大量敏感数据,并造成了约 3500 万美元的损失。
但 2017 年 WannaCry 勒索软件的爆发巩固了 Lazarus 和 Hyok 作为网络犯罪主谋的声誉。
该恶意软件对受感染计算机上的数据进行加密,并要求以加密货币支付解密密钥,从而在全球范围内造成严重破坏。
这次袭击的影响是灾难性的,尽管大量证据表明此次袭击与 Lazarus 有关,但朝鲜仍否认参与其中。
自那时起,该组织的策略不断演变,更加积极地转向加密货币盗窃——这一策略与朝鲜日益依赖非法金融运作来逃避国际制裁的策略相一致。
该组织进军加密犯罪的行为在 2017 年引起了广泛关注——同年,Park 首次被确定为 Lazarus 的关键人物。
那一年,韩国交易所遭受的一系列网络攻击导致交易平台损失了数百万美元,其中包括现已不复存在的 Youbit,该公司在一次攻击中损失了 17% 的资产后被迫破产。
随后,在 2018 年,该组织从日本交易所 Coincheck 窃取了 5.3 亿美元的资金,这是当时最大的加密货币盗窃案。
调查人员认为此次攻击与朝鲜特工有关,他们使用了网络钓鱼活动、社会工程学和复杂的恶意软件等多种手段入侵 Coincheck 的网络。
Hyok 在开发恶意软件和制作欺骗性数字身份方面的专业知识被认为发挥了至关重要的作用,使攻击者能够获取控制大量 NEM 代币的私钥。
随着他们的策略变得更加精细,Lazarus 转向直接针对区块链网络。
2022 年 Ronin (RON) 网络漏洞是加密货币历史上最具破坏性的漏洞之一,通过精心策划的社会工程攻击,Axie Infinity (AXS) 侧链被盗取 6 亿美元。
黑客利用了 Ronin 验证系统的弱点,使用受损的私钥授权欺诈交易——这种攻击需要深厚的技术知识、耐心和精准度,而这些都是 Park 专业知识的标志。
美国当局随后证实,被盗资金通过各种分散的协议进行清洗,然后流入朝鲜的金融体系。
这一趋势在 2023 年和 2024 年继续延续,Lazarus 再次出击。
2024 年 7 月,印度最大的交易所之一 WazirX 在又一起多层欺诈案件中损失了 2.34 亿美元。
攻击者利用交易所 API 权限中的漏洞,绕过内部安全触发器,获得未经授权的资金转移权限。
区块链取证团队通过迷宫般的混合服务追踪被盗资产,数字线索再次指向朝鲜。
现在,Bybit 黑客攻击再次出现同样的模式——这次的规模甚至更大。
拉撒路集团的网络战已经演变成一个精心策划的剧本,融合了欺骗、渗透和精确洗钱。
他们将人类心理武器化的能力是他们最强大的优势之一,使他们能够绕过最复杂的安全措施。而且正如最近的数据所显示的那样,他们的技术只会越来越高效。
据 Chainalysis 称,2023 年,朝鲜黑客在 20 起事件中窃取了 6.605 亿美元。
2024 年,这一数字飙升至 47 起事件中被盗金额 13.4 亿美元,增幅超过 102%。这些数字占当年所有被盗加密货币的 61%,而 Lazarus Group 几乎对 1 亿美元以上的大规模攻击事件负有责任。
现在,仅 2025 年两个月,他们的损失就已经超过了 2024 年的总额,仅 Bybit 黑客攻击就导致损失 15 亿美元。
该组织的行动早在入侵发生之前就开始了。过去几年,朝鲜 IT 工作者有计划地深入加密和 web3 公司,利用虚假身份、第三方招聘人员和远程工作机会获取内部访问权限。
2024 年,美国司法部起诉了 14 名在美国公司就职的朝鲜公民,他们通过盗用专有信息和利用职务之便窃取了超过 8800 万美元。
这些人员充当隐秘的内部人员,为 Lazarus 提供有关交易所安全协议、钱包结构和内部交易流程的情报。
一旦植入,Lazarus 便会通过社交工程、网络钓鱼和技术漏洞发起攻击。攻击者会向员工发送精心制作的电子邮件,冒充受信任的实体,以窃取敏感的登录凭据。
Bybit 黑客攻击也遵循了类似的模式,攻击者通过伪装成例行批准来欺骗交易所的多重签名者授权恶意交易。
一旦资金被盗,它们就会迅速通过去中心化交易所网络、Tornado Cash(TORN)等隐私钱包和跨链桥转移。
这些交易在不同的区块链之间迅速转移资产,使得调查人员很难追溯到其原始来源。
通常,被盗的加密货币会在比特币(BTC)、以太坊和稳定币之间多次转换,最终到达朝鲜特工控制的钱包。
其中一些资产通过看似合法的加密货币交易公司进行转移,进一步掩盖了它们的来源,并允许该政权将数字资产转换为硬通货——这是逃避国际制裁的关键解决方法。
在整个过程中,朴镇赫几乎是拉撒路每一次重大行动的核心。无论他是这些抢劫案的主谋,还是最熟练的特工之一,他的指纹无处不在。
随着 Bybit 攻击再次改写剧本,真正的问题不仅仅是他们是如何成功的,而是在下一个十亿人消失在数字虚空中之前,世界还能坚持多久。
浏览量6
浏览量10
浏览量5
浏览量4
浏览量6
