朝鲜网络势力深度嵌入去中心化金融生态

MetaMask核心开发人员泰勒·莫纳汉公开指出，自2020年起，来自朝鲜的科技人员已悄然进入至少40个广泛使用的DeFi协议代码仓库。该发现源于Drift Protocol遭遇2.8亿美元攻击后的溯源调查，确认幕后黑手为与朝鲜国家关联的黑客团体。

隐蔽渗透：以开发者身份构建长期攻防布局

莫纳汉强调，这些人员所声称的七年区块链开发经验并非虚构，而是精心策划的身份包装。他们通过合法渠道进入正规项目团队，在数月乃至数年内持续收集系统架构信息，为后续精准打击奠定基础。

跨国掠夺规模超越多数国家经济总量

据多方安全机构统计，名为“拉撒路”的朝鲜背景黑客组织自2017年以来累计盗取约70亿美元加密资产，覆盖超过36个国家的年度GDP。其中2025年针对Bybit实施的15亿美元攻击，创下历史最高纪录。

攻击模式分化：社会工程学主导而非技术复杂度

链上分析师zachXBT警示，将所有朝鲜相关攻击简单归因于单一组织，容易忽视内部运作差异。实际操作中，不同子团队分别负责虚假招聘、社交诱骗及视频会议渗透，技术门槛较低但执行效率极高。“若至2026年仍无法识别此类基础手段，暴露的是防御体系的结构性漏洞。”

从远程渗透迈向实体接触的新阶段

某知名交易所透露，曾有一位资质优异的候选人通过全部线上面试流程，却始终拒绝线下会面，最终被怀疑与拉撒路组织有关。更值得关注的是，最新情报显示该组织正启用非朝鲜籍人员执行实地联络任务，标志着其行动模式由纯数字渗透转向物理介入。

虚假身份体系揭示系统性入侵路径

Drift Protocol的事件复盘表明，攻击者未依赖外部漏洞，而是通过内部渗透实现控制。调查显示，其建立了一整套完整的伪造身份链：包含职业经历、公开认证与专业社交关系网络。整个形象塑造过程持续数月，足以通过商业合作方的尽职审查。

行业安全逻辑面临重构压力

随着超过40个协议被证实存在朝鲜背景员工，整个DeFi生态的信任基础受到冲击。莫纳汉指出，这种长达七年的潜伏周期意味着类似事件极可能仍在持续发生。当“七年经验”背后可能是系统性测绘时，现有人才筛选机制与协议安全模型亟需根本性升级。