朝鲜黑客大规模盗取加密货币的问题，已从币圈安全事件进一步上升为七国集团关注的国际安全议题。

6月17日，七国集团领导人在法国埃维昂峰会结束后发表地缘政治联合声明，明确提出，各成员国需要共同应对朝鲜的加密货币盗窃及网络犯罪活动。

声明同时表达了对朝鲜核武器和弹道导弹计划的严重关切。虽然G7没有公布新的制裁名单或具体执法措施，但将加密货币盗窃与朝鲜核导问题放在同一段落中，释放出一个明显信号：这已不再只是交易平台被黑的问题，而被视为涉及制裁规避和国家安全的跨国威胁。

累计至少盗走67.5亿美元

区块链分析机构Chainalysis估算，朝鲜关联黑客迄今已从全球加密货币市场盗走至少67.5亿美元。

仅2025年，相关黑客就盗取约20.2亿美元加密资产，比2024年增加51%，创下朝鲜关联黑客单年盗窃金额的最高纪录。

值得注意的是，2025年的攻击次数反而有所减少，但单笔案件金额明显扩大。

这意味着朝鲜黑客的策略正在发生变化：不再追求大量、小规模攻击，而是集中资源寻找交易所、托管机构和区块链项目中的高价值目标，一旦突破便可能造成数亿美元甚至十几亿美元损失。

一次攻击卷走15亿美元，创行业纪录

2025年2月，全球加密货币交易平台Bybit遭遇攻击，约15亿美元虚拟资产被盗，成为目前已公开的最大单笔加密货币盗窃案。

美国联邦调查局随后确认，事件由朝鲜关联网络攻击人员实施，并将这类行动称为“TraderTraitor”。

FBI表示，黑客在得手后迅速将被盗资产兑换成比特币及其他虚拟资产，再把资金分散至多个区块链上的数千个地址。

其目的，是在交易平台、执法机构和链上分析公司完成标记及冻结前，尽快打散资金流向，为后续洗钱争取时间。

2026年仅两次攻击又盗走5.77亿美元

进入2026年后，攻击势头并未减弱。

根据TRM Labs发布的数据，截至今年4月底，朝鲜关联黑客通过两起重大攻击，已经盗取约5.77亿美元，占同期全球加密货币黑客损失的76%。

两起案件分别是：

4月1日，Solana生态永续合约平台Drift Protocol遭攻击，约2.85亿美元被盗;

4月18日，以太坊流动性再质押项目KelpDAO遭攻击，约2.92亿美元被盗。

也就是说，朝鲜关联黑客只实施了少数几次高价值攻击，却拿走了全球同期超过四分之三的被盗加密资产。

TRM Labs认为，这些攻击显示相关团伙在目标筛选、社会工程、权限渗透以及跨链资金转移方面，正变得更加精准和专业。

黑客不只写病毒，还伪装成程序员和招聘人员

朝鲜网络攻击团队的手法，已经不再局限于直接攻击服务器或盗取钱包私钥。

近年来，调查机构发现，部分朝鲜人员会伪装成远程程序员、区块链开发者、招聘顾问、投资者或企业合作伙伴，进入加密货币公司的内部工作环境。

他们可能使用虚假身份和伪造履历申请远程岗位，在获得公司账号、代码库或系统权限后，为后续攻击寻找入口。

另一些团伙则会发布虚假招聘信息，诱导区块链行业从业者下载带有恶意程序的面试文件、会议软件或测试代码。

还有人冒充投资机构，与企业高管接触，再以投资审核、项目合作或并购尽调为由套取内部资料。

这类社会工程攻击往往持续数周甚至数月，在目标真正发现异常时，黑客可能已经获得关键权限。

被盗资金如何被“洗白”?

加密货币被盗后，犯罪团伙通常会立即展开多层转移。

常见手段包括：将资金拆分至大量钱包;在多个区块链之间进行跨链兑换;把以太币等资产换成比特币;使用去中心化交易平台及跨链桥;通过场外交易商兑换法定货币;利用没有严格身份审查的境外平台转移资金。

资金经过多个钱包和不同网络后，虽然链上交易仍然可以追踪，但冻结和追回需要多个交易平台及不同国家执法部门配合。

只要其中一个环节拒绝冻结，或者资金已经进入现金及地下金融网络，追回难度便会大幅增加。

G7要联合行动，但具体怎么做仍未公布

此次G7声明明确要求成员国共同应对朝鲜加密货币盗窃和网络犯罪，但内容只有原则性表态。

声明没有公布新的制裁对象，也没有说明是否将建立专门工作组、统一黑名单或推出新的交易追踪规则。

外界关注的潜在措施包括：加强成员国之间的钱包地址及攻击情报共享;要求交易所主动拦截朝鲜关联地址;制裁协助洗钱的交易平台、场外兑换商和中介;对匿名钱包及高风险跨链交易加强审查;推动区块链企业与执法机构建立快速冻结机制。

真正的难点在于，加密资金能够在几分钟内跨越多个平台和国家，而跨境司法协作、账户冻结及证据调取往往需要更长时间。

日本推动G7把问题摆上台面

日本是此次推动G7加强关注朝鲜加密盗窃问题的国家之一。

日本方面此前已多次呼吁七国集团加强协调，认为朝鲜通过黑客攻击和海外IT人员获取外汇，削弱了国际制裁效果。

美、日、韩近年来也持续加强政府与私营企业合作，要求加密货币交易所、区块链分析公司和金融机构共享可疑钱包及朝鲜黑客活动信息。

此次G7再次正式点名，意味着朝鲜加密货币盗窃可能成为未来制裁、反洗钱和国际网络安全合作的重要议题。

不是普通黑客，而是国家级跨境资金网络

从目前公布的数据看，朝鲜关联网络行动已经具备明显的国家级和工业化特征。

相关团伙不仅能够实施复杂攻击，还形成了从人员渗透、技术入侵、资产转移到跨境洗钱的完整链条。

对加密货币平台而言，最大的风险也不再只是系统是否存在漏洞，还包括应聘者、外包人员、投资联系人甚至内部账号，是否可能成为黑客进入核心系统的入口。

G7此次发出联合警告后，下一步是否会推出具体制裁和执法机制，将决定这份声明究竟只是政治表态，还是会真正转化为针对朝鲜加密资金链的国际围堵行动。