朝鲜黑客被指盗走2.9亿美元加密货币——2026年最大数字资产劫案

如果你还在想"加密货币这两年是不是安全多了"，这条新闻会把你拉回现实。TechCrunch今天报道：2026年4月上旬的一次大规模黑客攻击，卷走了价值2.9亿美元的加密货币，调查机构已经将幕后指向朝鲜黑客组织Lazarus——这一下成为2026年迄今最大一起数字资产盗窃案。

被攻击的是谁？是怎么被盗的？

根据TechCrunch的报道，受害方是一家中等规模的加密货币交易所（具体名字出于调查考虑暂未公开），黑客通过社交工程+智能合约漏洞组合攻击，在短短几小时内把热钱包里大部分资产转了出去。

更关键的是，调查人员发现这次攻击的手法极其"专业"——先是针对性钓鱼一位工程师的邮箱、拿到员工级别的内部访问权限，再利用一个之前没被公开披露的智能合约漏洞（也就是常说的"zero-day"），把资金从多签名钱包里转出。整个过程在交易所的安全团队做出反应之前就已经完成。

为什么断定是Lazarus？

这需要说一下背景。Lazarus是朝鲜政府背景的黑客组织，过去十年里被美国财政部、FBI、联合国反复点名，被指控过多起大型加密资产劫案——包括2022年的Ronin桥接攻击（6亿美元）、2023年Atomic Wallet攻击、2024年DMM Bitcoin攻击（约3亿美元）。

TechCrunch引用了链上分析公司TRM Labs和Chainalysis的分析，这次攻击中使用的钱包聚合路径、混币器使用模式、资金最终流向，都与Lazarus过往的"指纹"高度一致。朝鲜政府历来否认这些指控，但多国情报机构都认为其网络部队（代号"121局"）是全球最活跃的国家级黑客组织之一。

钱现在在哪里？

这是每次大案必问的问题。根据TechCrunch的报道，截至周末，约1.5亿美元的被盗资金已经通过Tornado Cash等混币器进行了清洗，追回的可能性越来越低。剩下的部分还在链上可追踪的状态，多家交易所已经接到执法机构通知，冻结任何涉及相关钱包地址的入金。

但Lazarus过去的操作模式显示，他们非常擅长"化整为零"——把大额资金拆成成千上万笔小额转账，分散在多条区块链上，再通过OTC（场外交易）和境外交易所最终换成法定货币。这次的2.9亿美元，追回的部分可能不到三分之一。

朝鲜为什么这么执着于偷加密货币？

答案其实很简单：这是朝鲜绕过国际制裁的主要外汇来源之一。据联合国制裁专家组估计，过去五年里朝鲜从加密货币盗窃中获得的资金超过30亿美元，主要用于武器研发和政权运转。对一个被全球金融体系几乎完全隔绝的国家来说，链上资金是为数不多的"硬通货入口"。

这也是为什么美国和盟友一直在推动对加密混币器的监管——从2022年制裁Tornado Cash开始，到2024年的多项加密反洗钱立法，整个行业在监管压力下持续收紧。但Lazarus的技术迭代速度也在加快。

对普通用户来说怎么防范？

如果你自己持有一点加密资产，以下几点值得记住：第一，大额资产用硬件钱包（Ledger、Trezor）而不是交易所账户；第二，开启所有交易所能开启的双因素验证（最好是硬件key，不是短信验证码）；第三，不要点任何"空投领取"、"免费NFT"的可疑链接——社交工程和钓鱼攻击90%的切入点都是这类链接。

另外提醒一下，如果你刚好是在某家交易所工作的朋友，这次事件的教训是：内部员工的邮箱安全可能比外部防御还重要。Lazarus的钓鱼攻击常常针对研发工程师、HR，甚至实习生。一封精心制作的假简历附件，可能就是整个公司几亿美元资产的切入口。