比駭客更危險的是自己人?北韓駭客再出擊,瞄準的是 Web3「散漫文化」
從 2022 年 Ronin Bridge 遭駭 6.25 億美元,到 2025 年的多起高調攻擊,北韓駭客正將加密世界視為提款機。資安公司 Oak Security 分析,他們不再只是用漏洞攻擊智能合約,而是瞄準 Web3 團隊最脆弱的一環:人。這場攻防戰,已不再是技術與技術的對決,而是安全文化與鬆散管理的拉鋸戰。
(水家人流下眼淚!Sui 主要 DEX Cetus 丟失超過 2.6 億美元,蒸發 83% TVL)
北韓駭客火力全開,2025 年再盜數十億美元
北韓背景的駭客行動愈發活躍。僅在 2025 年,他們就發起一連串針對加密產業的高精度攻擊行動,意圖盜取資產、滲透核心團隊。他們試圖從交易所 Bybit 中竊取價值高達 15 億美元 的資產,利用假徵才信騙取帳密,並已成功洗出數百萬美元。
廣告 - 內文未完請往下捲動
此外,他們還針對 MetaMask 與 Trust Wallet 發動惡意程式攻擊,試圖透過「偽裝成求職者」的方式滲透交易所內部,更在美國境內設立空殼公司,專門鎖定加密開發者下手。
這些攻擊越來越精細,手段越來越多元,但核心並不在於技術突破,而是針對「操作安全」的破綻下手。
(北韓駭客盯上台灣交易所?BitoPro 幣託遭駭失 1150 萬美元,疑似與 Bybit 15 億失竊案同集團)
駭客不再找漏洞,他們只找人類失誤
Web3 團隊長年專注在智能合約安全,卻普遍忽略組織運營中的營運安全問題(OPSEC,Operational Security)。來自 Oak Security 的專家指出,該公司已對 600 多個加密專案進行安全審計,發現大多數團隊對營運安全幾乎沒有設防。
常見問題包括:
-
私鑰管理鬆散
-
貢獻者透過 Discord 入職,未經任何身份驗證
-
關鍵代碼從未加密的個人筆電直接部署
-
治理與資金決策透過 Discord 投票進行
這些錯誤,讓專案團隊成為「不費吹灰之力」的攻擊對象。
僅靠程式碼防守,不足以抵禦現代攻擊
傳統智慧認為「只要智能合約審計通過,系統就安全了」,但現實卻完全相反。駭客根本不需要突破 Solidity 的零日漏洞,只要滲透一位內部人員,就能癱瘓整個專案。
2025 年 5 月,Coinbase 就因一名海外客服人員遭到駭客賄賂,導致客戶資料外洩,面臨 1.8 億至 4 億美元 的賠償與勒索風險。同樣的手法也試圖應用於 Binance 與 Kraken。
這些事件都不是技術錯誤,而是人為疏失。
Web3 的日常作業,成了駭客天堂
目前 Web3 團隊的日常操作堪稱駭客夢想:
-
無正式入職流程
-
無設備控管與端點防護
-
關鍵治理與財務會議紀錄存放於未加密的 Google Docs 或 Notion
-
發生事故時無應變計劃,只能「靠 Discord 臨時協調」
更令人擔憂的是,有些 DAO 掌管上億美元資產,卻用業餘的 Discord 投票與「週末版多簽」進行治理,安全漏洞如同開門迎賊。
傳統金融如何守住百億資產?Web3 該學習的地方還很多
傳統金融(TradFi)機構同樣面對來自北韓駭客與全球網攻壓力,但鮮少因此停擺,靠的是系統性防禦與成熟的安全文化。
銀行內部制度包含:
-
員工無法從個人設備操作交易
-
嚴格的身份與設備管理
-
明確分工與職責隔離
-
定期演練事故應變計劃
這些都不只是「為了合規」,更是保命之道。Web3 若真想長久發展,就得從這些制度中學習,打造符合去中心化特性的全方位安全框架。
安全不該只是「選配」,Web3 需要徹底改革文化
一些前衛項目已開始導入:
-
制式的 OPSEC 準則
-
紅隊演練(Red Team Simulations)
-
使用硬體錢包搭配多簽治理
-
背景審查與身份驗證機制
-
安全專責人與外部顧問常駐
但可惜的是,這類措施仍是少數例外,絕非產業常態。
去中心化不是不負責任的藉口
Web3 安全落後的一個核心原因,是「去中心化」與「安全控制」之間的矛盾。許多團隊預算不足、人員流動性高,甚至對資安有文化抗拒,認為「設定防火牆就是中心化」。
但現實很殘酷:北韓駭客已在系統內部,世界經濟也正逐步建立在區塊鏈之上。
若 Web3 繼續容忍這樣的運營鬆散,駭客與詐騙集團將會持續視其為「永續資金池」。要止血,不是寫出完美程式碼,而是建立更成熟的組織安全文化。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
