北韓 Lazarus 長年滲透加密貨幣與 DeFi 項目：超過 40 協議疑遭滲入、竊資近 70 億美元

根據 CoinDesk 的報導，於 24 日（當地時間），有安全專家警告，北韓「IT 人員」疑似已經連續至少 7 年滲透「加密貨幣」與「去中心化金融(DeFi)」相關企業與專案，參與協議研發與基礎設施搭建，甚至與臭名昭著的「Lazarus(拉撒路) 集團」多起大型駭客攻擊事件產生關聯。

資安研究員、同時也是「MetaMask」開發者的泰勒·莫나漢（Taylor Monahan）指出，許多北韓 IT 勞工早在「DeFi 夏季」之前，就已經參與打造業界廣為使用、甚至「我們熟悉且喜愛」的多個協議。她表示，自己掌握的線索顯示，有超過「40 個以上 DeFi 協議」在早期開發階段就出現北韓 IT 人員身影，而履歷上標示的「7 年區塊鏈開發經驗」很可能並非虛構。

這些滲透行為背後，被外界普遍認為與北韓「偵察總局」旗下的駭客組織「Lazarus 集團」密切相關。分析人士估計，該組織自 2017 年以來，透過各類「加密貨幣(BTC 等)」駭客事件與詐騙手法，累積竊取資產總額已接近「70 億美元」。Lazarus 亦被指與多起震撼「加密貨幣」市場的攻擊案件有關，包括 2022 年「Ronin Bridge」攻擊事件、2024 年「WazirX 交易所(WAZIRX)」遭駭，以及 2025 年圍繞「比特幣(BTC)」衍生的大型盜竊行動等。

莫ナ漢的最新發言，緊接著「Drift Protocol」遭遇的重大安全事故之後引發討論。該 DeFi 衍生品平台近日遭遇規模約「2.8 億美元」的攻擊，團隊在事後分析中表示，對於「北韓國家級威脅行為者」涉入此案，具有「中度以上信心」。根據 Drift 的調查報告，平台團隊並非直接與北韓籍人士接觸，而是透過「第三方仲介」進行合作，對方提供的則是一整套看似完整的「專業身分」：包含過往工作經驗、公開履歷紀錄、甚至產業內人脈關係。

類似情況也發生在其他實務案例中。Solana(SOL) 生態系上的去中心化交易聚合器「Titan Exchange」創辦人提姆·阿赫爾（Tim Ahl）就回憶，自己過去在招募工程師時，曾面試一名疑似隸屬 Lazarus 的工程人員。阿赫爾表示，該名應徵者在視訊面試中展現出非常專業、能力突出的形象，但卻一再拒絕親自到場面談；直到往後某次資訊外洩事件，他才在相關資料中發現了同一個名字，並與 Lazarus 相關名單有所重疊。

面對這類「人員滲透」風險，美國財政部海外資產管制辦公室（OFAC）則提供了實務上的防範工具。OFAC 官網中設有專頁，協助企業將合作對象與制裁名單進行比對，並整理出常見「IT 人員詐騙」與「假身分模式」的特徵，方便企業在招募過程提早發現異常。這也凸顯出，對於「加密貨幣」與「DeFi」產業而言，招募與合作流程本身已經成為潛在攻擊向量，不再只是帳戶被盜或智慧合約遭駭那麼單純。

「評論」：從傳統資安視角來看，許多公司過去習慣將防禦重心放在「系統與程式碼」，例如錢包安全、合約審計、多簽管理等；但本次討論凸顯的是，對手不僅透過技術手段入侵，更透過「勞務輸出」與「假履歷」直接滲透進開發團隊核心。對於高度依賴遠距協作、開源貢獻與匿名文化的「DeFi」社群來說，「人」反而成為最脆弱的一環。

鏈上調查專家 ZachXBT 也對這些滲透手法提出看法。他認為，從技術層面來說，這並不是特別高明或高成本的攻擊，「利用求職平台、LinkedIn、電子郵件、Zoom 視訊與常規面試流程來接近目標，基本上只是『最基礎的社交工程』。」在他看來，問題不在手法多精密，而在於攻擊方極具「耐心與執著」，願意花長時間經營假身分，並等待適合時機發動攻擊。ZachXBT 甚至直言，如果到了 2026 年產業還持續在同類手段上「踩雷」，那將顯示相關團隊在風險意識與內控機制上「極度疏忽」。

「評論」：ZachXBT 的觀點，其實點出一個關鍵——當攻擊手法已經被反覆揭露與警示，產業若仍未強化「實名驗證」「背景調查」「供應鏈風險管理」等程序，就意味著風險管理仍停留在「形式合規」，而非「實質安全」。這對「加密貨幣」與「DeFi」這類高價值標的來說，後續恐怕會反映在更高的保險成本與監管壓力上。

綜合來看，有關北韓 IT 人員及「Lazarus 集團」長期滲透「加密貨幣」與「DeFi」專案的疑慮，再次揭開產業在「人員驗證」與「供應鏈安全」上的巨大缺口。當大型駭客事件頻仍，且疑似與內部人員或外包協力廠商產生交集時，單純加強技術層面的防禦已難以應付新型威脅。對於任何涉及「加密貨幣」「DeFi」開發與營運的團隊而言，將「招募流程」「外包合作」「治理參與者」一併納入攻擊面評估，並持續導入身分驗證、制裁名單比對與行為風險監控機制，恐怕已是無可迴避的課題。