2025年，朝鲜的网络黑客达到了一个毁灭性的里程碑：盗取了US$2 十亿美元

由朝鲜支持的黑客在2025年以史上最大规模的加密货币盗窃收获画上句号。这一数字不仅仅是一个简单的数字：20亿美元的盗窃金额比2024年增长了51%，使朝鲜民主主义人民共和国的累计总额达到67.5亿美元。根据Chainalysis最新的报告，我们正面临全球网络威胁格局的关键演变。

使这些数据尤为令人担忧的不仅是其规模，更是其潜在的模式：攻击次数减少，但破坏性呈指数级增长。

向灾难性规模攻击的转变

在过去几年中，网络犯罪分子多样化其目标，针对多个小型和中型目标以追求数量。2025年，朝鲜的行为完全不同。

他们负责了76%的针对企业级服务的违规事件，创下历史最高比例。这意味着几乎所有针对集中式加密服务的大规模漏洞都带有平壤的数字签名。当其他犯罪团伙选择数量时，这些行为者拥有资源、专业知识和耐心，进行少量但规模宏大的行动。

这种变化具有战略意义。对大型平台的集体攻击会产生地缘政治影响，施加监管压力，并使市场陷入瘫痪。朝鲜的网络犯罪经济已变得工业化。

高级的资金机器：洗钱操作的运作方式

盗窃之后，便是转换资金。而在这里，朝鲜的操作复杂性变得明显。

不同于其他犯罪分子进行大额且易于追踪的链上转账，这些行为者将其操作拆分成细致的部分，通常低于50万美元。这是一场耐心的游戏：多次小额交易，而非一次明显的大额转账。

与朝鲜相关的钱包显示出对三个特定渠道的明显依赖：

中文交易所服务——作为本地入口的区域平台
去中心化桥接和混合服务——打破资金追踪的技术工具
区域担保和中介——促进现金转换的中间人

注意他们不使用的工具：DeFi协议、去中心化交易所、点对点平台。原因很明确：结构性限制以及对特定区域中介的依赖，而非全球金融基础设施的全面接入。

Chainalysis的时间分析揭示了一个令人惊讶的模式：大规模盗窃后，洗钱窗口大约持续45天。在此期间，资金经历多个阶段，从立即的模糊处理到最终的整合。虽然并非所有操作都遵循这一时间线，但多次操作的时间一致性表明其流程高度标准化。

人工智能作为超级犯罪武器

朝鲜是如何以如此精准的规模执行这些操作的？根据Chainalysis国家安全情报负责人Andrew Fierman的说法，答案指向一个关键因素：人工智能。

“朝鲜利用人工智能实现了盗窃加密货币的洗钱流程，其一致性和流畅性表明了AI的使用，”他解释道。洗钱机制通过混合器、桥接和协议在早期阶段结构资金，形成结合多种转换工具的工作流程。

“为了高效地盗取如此大量的资金，朝鲜需要一个庞大的洗钱网络和优化机制，这很可能体现在AI的应用上。”

这并非科技恐惧症，而是对操作基础设施的观察：转换速度、金额的精准度、时间上的一致性以及操作安全的复杂性，都与智能自动化相符。

网络威胁的两极分化

与此同时，其他加密犯罪的格局展现出有趣的对比。2025年，单个钱包的被盗价值仅占总盗窃价值的20%，低于2024年的44%。虽然针对个人用户的事件数量增加到158,000起，但每次受害者的平均损失下降了52%，总计为713万美元。

换句话说：攻击者针对更多人，但每人盗取的金额更少。

而朝鲜则处于极端：大规模、罕见但灾难性的盗窃。大多数团伙在目标量较小的地方操作，而朝鲜的行为者则在影响最大化的地方行动。

这对未来意味着什么

随着2025年结束，迈向2026年，朝鲜在加密黑客方面的努力没有减弱的迹象。数据表明，威胁环境正变得越来越极化：一端是低价值的个人盗窃，另一端是罕见但破坏性极大的服务漏洞，朝鲜坚定地位于后者的中心。

对于合规和执法团队来说，这些发现提供了一个灯塔：45天的洗钱窗口为在最终转换前拦截资金提供了临时机会。但这需要平台、司法管辖区和分析师之间的快速协调。

对于加密货币平台而言，信息很明确：当攻击者是拥有工业级网络安全资源和人工智能技术的国家级别时，传统的防御措施可能不足以应对。