商傳媒|吳承岳/台北報導
北韓國家支援駭客組織於4月1日針對建構於Solana區塊鏈的去中心化永續期貨交易所Drift Protocol發動精密網路攻擊,短短12分鐘內竊走高達2.85億美元(約新台幣92億元),兩家區塊鏈分析公司TRM Labs與Elliptic均指出,此次攻擊手法結合社交工程與技術漏洞,而非僅利用智能合約缺陷。
精密社交工程與技術濫用
這場攻擊始於2025年10月,駭客耗時約半年,假冒量化交易公司與Drift Protocol人員建立信任關係。隨後,他們投入100萬美元流動性,並透過虛構的「CarbonVote Token」進行洗價交易,使其被Drift的價格預言機錯誤識別為數億美元的合法抵押資產。接著,駭客利用Solana區塊鏈合法的「Durable Nonce」功能,隱藏管理金鑰的惡意轉移提案,欺騙多重簽名成員在零延遲的情況下批准轉讓,迅速奪取Drift的治理權。成功取得控制權後,駭客隨即解除提領限制,並在34小時內透過多個區塊鏈與交易所進行超過86萬筆交易,將資產轉換為USDC、再經跨鏈橋轉至以太坊,最終換成以太幣,展開高度自動化的洗錢程序。
北韓網路犯罪規模擴大與戰略轉變
據統計,北韓累計竊取的加密貨幣已超過67.5億美元(約新台幣2,184億元)。其網路攻擊策略已從過去針對多個小額目標,轉向鎖定少數具高價值流動池的去中心化金融(DeFi)協議。2026年第一季的竊盜金額已逾20億美元,幾乎追平2025年全年總和。這些竊取所得的加密貨幣最終會透過中國的場外交易商及柬埔寨的服務管道洗錢變現,並被直接用於採購彈道飛彈與彈藥等軍事物資,甚至支付給俄羅斯,以規避國際銀行間電文交換系統(SWIFT)的監控。
北韓的威脅不僅限於直接竊取資產,還透過部署偽裝的IT工作者滲透全球企業。數千名北韓IT人員透過偽造身分、AI生成個人資料及變聲器,喬裝成自由工作者潛入日本及西方國家企業,從事供應鏈攻擊或竊取智慧財產。2025年1月,Nisos便披露有北韓IT工作者冒用化名在日本公司任職。此外,「夢幻工作行動」(Operation Dream Job)更透過冒充大型企業人資,以提供高薪職位為誘餌,向加密貨幣、國防、航太等產業的工程師發送惡意程式。
日本採主動防禦策略 台灣企業應引以為鑑
面對日益嚴峻的網路威脅,日本已展現積極防禦姿態。2024年發生的DMM Bitcoin遭竊3.8億美元事件,促使日本金融廳全面檢視網路安全要求。日本於2025年5月16日通過《主動網路防禦法》(ACD法),允許國家對網路威脅進行事前監控與主動介入。同年7月,日本國家資訊安全中心(NISC)也改組為國家網路安全局(NCO),作為跨部會協調的「總指揮」。
日本企業正採行包含嚴格身分驗證、導入零信任架構、管理軟體供應鏈風險,並積極參與威脅情報共享生態系統等實務措施。北韓駭客攻擊Drift Protocol的案例顯示,即便平台本身智能合約無技術缺陷,仍可能因社交工程和治理機制漏洞而遭受重創。這些新型態攻擊手法對全球金融體系構成普遍威脅,台灣金融機構及企業亦應引以為鑑,強化內部人員資安意識、落實嚴謹的身分驗證機制、建立零信任架構,並密切監控供應鏈風險,以防範類似攻擊。
