币圈界报道：

朝鲜黑客从外部攻击转向内部渗透，重塑加密安全格局

近年来，朝鲜背景的加密行动者不再局限于远程攻击，而是以可信身份深度嵌入Web3企业内部，悄然掌控关键系统权限，彻底改变数字资产领域的安全威胁形态。

ETH Rangers启动专项研究，聚焦内部风险溯源

为应对日益严峻的生态安全挑战，以太坊基金会于2024年末推出ETH Rangers计划，支持独立研究人员开展公共安全课题。其中一项为期六个月的资助项目，最终演变为针对虚假开发者行为的深入调查——Ketman计划。

该计划采用结构化分析路径，通过对多起案例的时间线与行为特征进行交叉验证，确认其发现具有高度可复现性，非偶然事件。

百余起案例揭示朝鲜势力深度嵌入多个项目

Ketman计划调查发现，约100名伪装成开发者的朝鲜关联人员已在多个Web3组织中建立长期信任关系。他们通过获取敏感访问权限，逐步掌握核心系统控制权，且在早期阶段未触发任何预警机制。

以太坊基金会已向近53个相关项目发出风险提示。每一份通报都指向同一核心事实：威胁已从外部入侵演变为内部侵蚀，攻击者正成为系统的一部分。

基金会在报告中明确指出：“此类活动是当前以太坊生态系统所面临最紧迫的运营安全挑战之一”，凸显事态严重性。

基于行为模式构建可复现的检测框架

此次暴露并非依赖单一漏洞或偶发线索，而是建立在对异常操作模式的系统性分析之上。研究团队识别出一系列高度一致的行为特征：重复使用的头像、复制的GitHub元数据、屏幕共享时泄露的隐藏邮箱，以及与宣称国籍不符的系统语言偏好。

这些看似微小的不一致，实则构成可被追踪与验证的结构性信号。通过整合多个案例中的共性模式，研究人员已建立起具备预测能力的检测模型。

尽管部分方法未对外公开，但以太坊基金会强调，该框架仍处于持续优化阶段，部分内容保留以防止被针对性规避。

威胁蔓延至全球数字体系，催生新型防御需求

朝鲜加密行动者是其整体数字战略的重要一环，过去数年已造成数十亿美元损失。多项重大漏洞事件均被证实与“拉撒路集团”等实体存在关联。

如今，其策略已从外部攻击转向内部渗透，使攻击周期显著延长，隐蔽性大幅增强。这种转变使得传统防御手段难以奏效。

面对这一升级，行业正探索引入人工智能辅助工具识别潜在异常。相关报告指出，检测能力已超越单纯的技术层面，进入情报对抗新阶段。

为此，以太坊基金会推动开发了开源工具，用于标记可疑的GitHub活动，并联合多方安全联盟共建通用检测框架，旨在提升整个行业的协同防御水平。

信任机制失效，安全范式亟待重构

此次事件暴露出去中心化系统在信任假设上的根本脆弱性。当“开发者”身份本身成为攻击入口，仅靠成员背景审查已无法保障系统安全。

以太坊基金会的行动标志着一种关键转型：从被动响应转向主动验证与持续监控。未来，所有参与者的身份真实性必须接受动态审计。

随着生态规模扩张，如何应对此类以可信身份出现的威胁，将决定加密世界能否建立真正可持续的安全基石。朝鲜加密行动者的崛起，已不再是技术问题，而是一场关于信任与制度设计的深刻考验。