近年来，朝鲜黑客频频出现在网络安全事件的中心，尤其是在加密货币领域。2024 年，朝鲜黑客通过复杂的攻击手段和洗钱技术，涉嫌盗窃了价值数亿美元的加密资产，给区块链行业和全球反洗钱工作带来了巨大挑战。本篇文章将探讨朝鲜黑客的攻击和洗钱手法，以及混币工具的使用情况。

朝鲜黑客

以下是朝鲜黑客组织犯下的重要事件列表（数据来源 SlowMist Hacked）：

攻击手法

除了技术漏洞之外，许多攻击还通过社会工程学来获取初始访问权限或绕过安全措施。例如，DMM Bitcoin 和 Radiant 漏洞涉及黑客在部署恶意软件之前通过冒充和网络钓鱼与目标建立信任。

• 疑似朝鲜黑客通过 Telegram 攻击区块链社区：一种常见的手法是针对区块链和天使投资社区的网络钓鱼活动。黑客在 Telegram 上冒充知名投资公司的代表。他们主动发起对话并获得受害者的信任，使用 Calendly 等平台安排虚假会议，并以解决技术问题或共享敏感数据的幌子说服受害者下载恶意 App。

• 朝鲜 IT 工作者的威胁：朝鲜网络行动的另一个维度是将 IT 工作者部署到合法角色中。据谷歌威胁情报小组称，朝鲜特工以虚假借口渗透到 IT、区块链和自由职业平台。这些特工使用伪造的凭证和投资来获得职位，从而破坏敏感系统或发起更广泛的攻击。

• BeaRAT 恶意软件的新变种：研究人员发现了 BeaverTail 恶意软件的新变种，该变种归因于与朝鲜有关的黑客，它通过伪装成合法的基于浏览器的视频通话应用程序来攻击 macOS 用户。这种复杂的恶意软件旨在从受感染的机器中窃取敏感信息，包括加密货币钱包数据和钥匙串文件。

洗钱手法

虽然各种区块链网络上的漏洞利用有所增加，但 Ethereum、Bitcoin 和 TRON 仍然是被用于洗钱的主要网络，因为它们流动性高，生态系统支持广泛。此小节以慢雾(SlowMist) 跟进的 BingX 事件为例，出于隐私原因，本调查重点介绍基础知识，不深入研究高级策略。我们来看下 BingX 事件中黑客转移被盗资金的路径：

被盗资金被转移到黑客控制的钱包后，从山寨币转换为 ETH。

随后，ETH 被分散转移到多个地址，并存入 Tornado Cash、Thorchain 和 deBridge 等平台。

黑客从比特币网络提取被盗资金后，将它们分散转移到多个地址，然后再次合并，并以 USDT 的形式跨链回以太坊网络。

最后，资金以 USDT 的形式通过 deBridge 跨链到 Solana 网络，随后黑客将其兑换为 USDC，然后存入 deBridge 并从 Solana 网络中提取。

值得注意的是，从 Solana 提款并不是追踪分析的结束。这种混淆资金路径的过程又重复了几次，最终资金被存入交易所或转移到 TRON 网络上的场外交易(OTC) 市场。

黑客通过跨多个区块链网络转移资金，其目的是测试各大交易所的反洗钱(AML) 系统，虽然大多数交易所都执行了解您的交易(KYT)，但自动化系统能力有限，复杂的洗钱模式涉及多层和跨链转移，通常需要人工干预才能有效地提醒交易所。特别是混币器的使用，进一步增加了追踪资金的难度。黑客洗钱过程中使用的层级和网络越多，就会导致追踪和阻止被盗资产被清洗越困难。这种情况下，需要更先进的工具和更专业的知识，才能对抗这些愈发复杂的洗钱技术。

虽然场外交易市场似乎是交易加密货币的便捷选择，但它们也伴随着巨大的风险。大多数场外交易市场并没有彻底审查被盗资金，导致参与这些市场的用户可能会发现自己无意中拥有非法资产。在这种情况下，资金通常会被冻结或扣押，用户成为受害者。

混币工具

Tornado Cash

(https://dune.com/misttrack/2024)

2024 年，用户共计存入 500,245 ETH（约 15.06 亿美元）到 Tornado Cash，同比增长 47%；共计从 Tornado Cash 提款 480,328 ETH（约 14.55 亿美元），同比增长 53%。

eXch

(https://dune.com/misttrack/2024)

2024 年，用户共计存入 214,918 ETH（约 6.33 亿美元）到 eXch，同比增长 355%；共计存入 173,106,107 ERC20 到 eXch，同比增长 579%。 

2024 年，eXch 活动的增加主要是由于包括朝鲜附属实体在内的恶意行为者越来越多地使用它。与通常可以拆分用于大额交易的 Tornado Cash 不同，eXch 以不配合执法部门而闻名。eXch 提供了更高的匿名性和更低的资产追回风险，这些因素使 eXch 成为恶意行为者的首选平台，推动了 ETH 和 ERC20 代币存款的大幅增长。

Railgun

(https://x.com/RAILGUN_Project/status/1862141642989539397)

Railgun 已实施私人无罪证明(PPOI)，利用零知识证明确保用户能够在不损害隐私的情况下验证其资金与非法活动无关。这项创新在隐私和合规性之间取得了关键的平衡，使恶意行为者更难利用该平台洗钱。

总结

2024 年，Tornado Cash 和 eXch 等混币工具的使用增长显著，体现了黑客不断创新洗钱方法的趋势。朝鲜黑客通过高度组织化的网络犯罪活动、复杂的技术攻击手段以及跨链洗钱策略，持续对全球网络安全生态构成严峻威胁。面对这一局势，行业需要进一步提升反洗钱系统的技术能力；完善对混币工具及相关平台的监管框架；推动国际间的协作与信息共享，共同打击网络犯罪。同时，无论是个人用户还是机构，都需要提高安全意识，采取积极的防护措施，以应对复杂的网络安全威胁。只有全行业共同努力、主动防御，才能在这场攻防较量中占据上风，确保区块链生态的健康发展。

报告的链接如下，也可直接点击阅读原文跳转，欢迎阅读并分享 :)