加密货币安全漏洞暴露人类弱点重于技术缺陷

简要说明

目录：简要说明 | 朝鲜特工通过社会工程学手段锁定加密公司 | 虚假钱包应用清空音乐人十年比特币积蓄 | 暗网广告以数千美元招募交易所内幕人员

朝鲜在2025年通过欺骗手段而非代码漏洞，窃取了价值20.2亿美元的加密货币，同比增长51%。一款伪造的Ledger Live应用通过了苹果的审核，并从一名用户处清空了价值42.4万美元的比特币。Kraken的内部人员通过暗网广告被以低至3000美元的价格招募，用以入侵客户账户。密码学系统本身未被攻破，但人为的接触点已成为加密货币领域最廉价的攻击途径。

2025年4月，短短十三天内发生的三起重大加密货全漏洞事件，均源于人为失误，而非代码漏洞。这些事件共造成了数亿美元的损失。每一起案件都涉及对人的操纵，而非对区块链系统本身的利用。分析人士指出，这一模式揭示了该行业尚未解决的一个结构性弱点。数字资产安全的主要约束已不再是密码学，而是人本身。

朝鲜特工通过社会工程学手段锁定加密公司

一项为期六个月的渗透行动导致Drift于2025年4月1日损失了2.85亿美元。攻击者伪装成商业伙伴，在多个国家进行线下会面，并存入100万美元以建立信誉。调查人员以中等置信度将此行动归因于受朝鲜国家资助的黑客组织UNC4736。该组织也被认为与2025年2月Bybit损失的15亿美元有关。Chainalysis报告称，朝鲜仅在2025年就窃取了价值20.2亿美元的加密货币。这一数字同比增长了51%，而攻击次数却减少了74%。效率的提升源于更精巧的欺骗手段，而非技术工具的改进。

正如研究员所指出的，朝鲜在2023年就停止了试图破解密码学数学的努力。取而代之，他们开始招募接近这些系统的人。十三天内发生了三起加密货全故障。皆为人祸，而非技术缺陷。却无人将其联系起来。

CrowdStrike在2024年记录了304起朝鲜渗透事件。这类攻击活动在2025年仍在加速。2025年5月，Kraken发现一名朝鲜特工申请内部职位。该公司故意让面试继续，以研究其所用策略。这一决定为从内部了解此类行动的组织结构提供了罕见的情报。

虚假钱包应用清空音乐人十年比特币积蓄

4月11日，音乐人G. Love在购买了一台新的MacBook Neo后，于苹果应用商店搜索Ledger Live。他了一个通过了自动扫描和人工审核的克隆应用。一个虚假的错误提示屏幕诱使他输入了24个单词的助记词。几分钟内，5.92个比特币（当时价值约42.4万美元）不翼而飞。这些交易被追踪至KuCoin的存款地址。

该应用绕过了平台的多层安全防护，但并未利用任何技术漏洞。它完全依赖于一个逼真的界面和人为施加给用户的压力。一旦输入助记词，攻击者便获得了完全且不可逆的访问权限。这类攻击不需要复杂的代码，只需要一个可信的复制品和用户片刻的信任。被广泛认为审核严格的苹果应用商店审查程序，也未能将其拦截。

暗网广告以数千美元招募交易所内幕人员

4月13日，Kraken的首席安全官披露，两名客服人员被犯罪集团招募。大约2000个客户账户被访问，占总用户数的0.02%。没有资金被盗，系统也未在技术上被攻破。犯罪分子录制了内部客服面板的操作视频，并以此进行勒索。Kraken拒绝支付赎金。访问权限的获得并非通过零日漏洞利用，而是通过暗网上的职位招聘广告。

根据相关研究机构在2025年底的记载，获取Coinbase、、Kraken或Gemini等平台的凭证或面板访问权限，价格在3000至15000美元之间，以加密货币支付。这个价格甚至低于旧金山一个月的租金。

加密货币行业花费了十五年时间和数千亿美元，构建了技术可靠的基础设施。SHA-256哈希函数未被攻破，椭圆曲线签名依然完好。然而在十三天内，人为的接触点就绕过了所有这些防护。行业越是强化其技术系统，相比之下，人为绕过的成本就显得愈发低廉。

本文标签：

声明：本文由代码号注册/游客用户【澜漪】供稿发布，本站不对用户发布的加密货币安全漏洞暴露人类弱点重于技术缺陷信息内容原创度和真实性等负责。如内容侵犯您的版权或其他权益，请留言并加以说明。站长审查之后若情况属实会及时为您删除。

很赞哦！ ()