朝鲜加密黑客：2026年前四个月占损失总额76%

76%。这不是猜测。根据TRM Labs的报告，2026年前四个月，朝鲜黑客团伙在加密货币攻击中窃取了6.51亿美元总损失中的5.77亿美元，占比高达76%。仅仅四个月。

来源：TRM Labs、Chainalysis、Elliptic，2026年5月

两次攻击，两个完全不同的协议，同一个攻击者，同一个月。根据Elliptic和TRM Labs的归因分析，Drift Protocol于2026年4月1日在Solana上遭受2.85亿美元损失，行动被归属于Lazarus Group旗下的TraderTraitor子组织。Kelp DAO则于4月18日损失2.92亿美元，同一攻击单元，但采用了完全不同的攻击向量（LayerZero跨链桥，而非针对Solana的社会工程学手段）。朝鲜并非即兴发挥，而是在同时多线推进。

来源：Elliptic、TRM Labs、ZachXBT，2026年4月

来源：LayerZero Labs、Chainalysis、ZachXBT，2026年4月

关于Kelp DAO漏洞事件和Drift Protocol案例的完整分析，以及Aave在漏洞后如何应对危机，请参阅我们关于Aave与95%的rsETH回收过程的深度报道。

朝鲜如何实施加密货币盗窃？

这套方法已大幅演进。我们面对的不再是某个黑客在房间里寻找合约漏洞的旧模式。Chainalysis、TRM Labs及FBI研究人员所追踪的TraderTraitor，运作方式俨然一家企业。该组织通过虚假招聘活动招募开发者，Cisco Talos记录的GhostHire行动便是典型案例。被招募者以合同工身份渗入加密公司，以普通员工的身份工作数月。时机成熟时，他们便利用内部访问权限攻陷私钥、篡改配置或清空钱包。

#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.

The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK

，PeckShieldAlert (@PeckShieldAlert) May 15, 2026

Drift案是迄今记录最详尽的案例。根据Elliptic和TRM Labs的分析，攻击者于3月23日（攻击发生前三周）就在Solana上创建了开发者账号，随后进行刷量交易以使CarbonVote Token看起来可信，然后静待时机。4月1日，12分钟内，金库被清空。此后攻击者利用USDC跨链协议Circle CCTP，在美国工作时段内6小时内将2.32亿美元从Solana转移至以太坊，Circle始终未介入干预。

人工智能正深度介入攻击流程。Cisco Talos记录的GhostCall和GhostHire行动，已在Web3招聘视频通话中使用克隆语音和深度伪造技术冒充高管，进一步提高渗透成功率。这尚非EVMbench基准测试中“AI直接攻击智能合约”的模式，却是其前身：AI作为攻击准备与掩护的工具，先于漏洞利用本身。

TRM Labs目前尚未将2026年5月15日的THORChain攻击（涉及1,080万美元）正式归因于朝鲜。若TraderTraitor的介入最终得到确认，2026年朝鲜造成的加密损失将在年中前突破5.88亿美元。OFAC已于2026年多次制裁朝鲜中间商，最近一轮在3月，但效果有限。美国财政部的制裁压力尚未从根本上改变朝鲜黑客的行动能力。THORChain社区计划于5月22至23日投票通过自身补救方案：若归因结论发生变化，整个行业将面临更大压力，被迫为跨链桥和跨链协议引入交易筛查机制，而目前99%的相关协议尚不具备这一能力。持续关注SpazioCrypto的黑客事件专栏获取最新动态。