北韓駭客的滲透手法正從「程式碼」轉向「人」，*瑞波幣(XRP)* 近期首度將掌握的內部威脅情報主動分享給整個加密產業，試圖以「聯合防禦」模式對抗日益升級的社交工程攻擊。這顯示加密貨幣生態的安全焦點，正從純技術防護轉為更重視「人為風險」與內部滲透，市場警戒感同步升高。*北韓駭客*、*社交工程*、*內部威脅*、*情報共享* 成為本次事件的關鍵詞。

根據外媒報導，於 5 日（當地時間），瑞波公司表示，其內部安全團隊已開始將與北韓駭客相關的內部情報，透過加密資安情報共享組織「Crypto ISAC」提供給整個加密產業。此舉旨在回應近期攻擊手法的轉變——從傳統的*智慧合約漏洞攻擊*，進化為長期經營信任關係、滲透企業內部的人員攻擊模式。

瑞波強調，單一企業已難以獨自應對這類跨平台、跨企業的*北韓駭客組織*威脅，因此希望透過*信息共享*提升產業整體防禦水平，尤其是針對「假應徵者」「假合作方」等社交工程路徑的預警。

從「駭入系統」到「滲透團隊」：Drift 攻擊改變了風險認知

近期備受關注的 *Drift* 攻擊事件，徹底改變了市場對加密資安的理解。這起事件並非傳統印象中的「遠端駭入」或「合約漏洞利用」，而是被懷疑為北韓相關組織長期滲透的成果：攻擊者在數個月內與專案內部相關人員建立信任關係，最終植入惡意程式，取得錢包存取權限，成功轉走約 2.85 億美元（約 4,200 億韓元）的資產。

在這整個過程中，既有的技術型資安系統幾乎未觸發異常警報。原因在於，攻擊並非從外部 IP 或可疑網路行為直接入侵，而是偽裝成「內部合法使用者」的操作行為，讓原本為防堵外部攻擊而設計的防線形同虛設。

自 2022 年至 2024 年，多數去中心化金融（*DeFi*）相關攻擊多集中在利用程式碼缺陷、邏輯漏洞與合約設計問題。然而，隨著主流專案對技術安全的投資與審計強度提升，攻擊成本不斷上升，*北韓駭客組織*等開始改變策略，將重心轉移到人員端、流程端與治理結構端的薄弱環節。

*評論*：這代表「寫得出安全程式碼」已不足以保護一個 DeFi 或中心化服務專案，缺乏*人員背景審查*、*權限管理*與*行為監控*的團隊，正成為新一波攻擊的首選目標。

假求職者與假合作對象：駭客從招聘管道走進公司

報導指出，近期北韓相關駭客組織愈來愈多地採用「滲透式求職」策略，鎖定加密貨幣交易所、錢包公司、基礎設施服務商與 DeFi 團隊的招聘流程：

- 以看似正常、甚至高度專業的履歷身分投遞職缺

- 通過多輪面試與技術考核，在視訊會議或線上協作中逐步建立信任

- 一旦取得內部系統、開發環境或錢包管理工具的權限，即嘗試安裝惡意程式或竊取關鍵憑證

瑞波表示，為了協助整個加密產業及早辨識這類「假求職者」與「假外包合作方」，公司已向 Crypto ISAC 提供多種可協助識別可疑行為的資料，包括 LinkedIn 個人檔案、電子郵件位址、可能的地理位置資訊與電話號碼等可被標記為潛在威脅的*攻擊指標（Indicators of Compromise, IoC）*。

瑞波並指出，在實際案例中，常見情況是：同一名疑似威脅行為人，於同一週內向多家加密公司投遞類似職位。若缺乏橫向通報與資訊共享，每家公司都必須從零開始調查，既浪費時間，又放大了風險暴露。

瑞波強調：「在加密資安領域，最有力的防禦往往不是單一企業的防火牆，而是產業之間的*資訊共享*。」透過標準化的威脅通報機制，企業得以更快攔截重複出現的可疑帳號與身份，縮短攻擊者在生態系內的「活動壽命」。

*評論*：這種跨公司分享招聘相關黑名單與可疑行為模式的作法，實際上已接近傳統金融圈的「防洗錢名單共享」邏輯。加密產業若能形成類似的共同資料庫，將明顯提高北韓駭客組織的滲透成本。

拉札魯斯集團攻擊外溢：從資安事件延伸到法律戰場

北韓駭客組織 *拉札魯斯集團（Lazarus Group）* 的影響力，已不再侷限於單純的「駭客入侵」事件，而是逐步延伸到治理與法律爭議層面。

近期有律師向 *Arbitrum(ARB)* DAO 提出資金凍結請求，主張在 4 月發生的 *Kelp Bridge* 攻擊事件後遭凍結的 3 萬 7,65 枚以太幣(ETH)（約 555 億韓元）屬於北韓相關資產，應被長期凍結或依法處置。該攻擊事件中，整體損失約達 2.92 億美元（約 4,310 億韓元），同樣被多方情報機構指向為拉札魯斯集團所為。

另一方面，去中心化借貸協議 *Aave(AAVE)* 則表明立場反對部分法律主張，強調「盜賊無法透過竊取取得合法所有權」，即便資產已在鏈上轉移到新地址，也不應被視為正當所有者。

從 *Drift* 與 *Kelp Bridge* 兩起事件合計來看，僅在約一個月內，與拉札魯斯集團相關的疑似攻擊造成的損失就超過 5 億美元（約 7,400 億韓元），進一步凸顯北韓網路作戰部門對加密市場的「系統性威脅」角色。

*評論*：這類事件逼迫 DAO 與協議方面對一個棘手問題——在一個強調不可篡改與無許可（permissionless）的區塊鏈世界，應如何對明知來源不法的資產施加限制？在缺乏傳統法院與監管架構的情況下，*治理投票*正在變成某種新型態的「鏈上判決」。

資安典範轉移：從技術防線到「情報共享」生態系

綜合目前情況，加密產業的安全策略正出現幾個明顯轉向：

- 從只強調 *程式碼審計*，轉向同時重視*員工招募審查*與*內部權限管理*

- 從各自為政的防禦，轉向建立跨企業的*威脅情報共享*平台

- 從事後應變，逐漸朝*行為模式預警*與*身份風險評分*發展

瑞波的決策，被視為推動這種典範轉移的代表性案例：不再將威脅情報鎖在公司內部，而是透過 Crypto ISAC 等第三方平台，在產業層級進行系統化共享。這有助於縮短攻擊偵測時間、減少重複受害的機會。

然而，*情報共享*是否真能大幅壓制北韓駭客的攻勢，仍存在不確定性。從過往經驗來看，同一組織往往同時或輪流滲透多家企業的招聘流程與合作談判，且會快速更換身份資訊、投遞新履歷與設立新公司門面。這意味著，單靠既有的黑名單與已知指標，或許仍不足以完全扼殺其活動空間。

*評論*：真正有效的防禦，很可能需要「三層並進」——

1）*跨產業情報共享*，縮短威脅資訊傳遞時間

2）*內部流程強化*，包含背景查核、多重簽章與最小權限原則

3）*教育與文化*，讓團隊成員理解社交工程的真實風險，而非只把資安當作技術部門的責任

總結來看，瑞波主動分享北韓駭客內部情報的行動，突顯加密產業正進入「後程式碼時代」的安全新階段：*人*與*流程*成為新的主戰場，而「誰願意共享情報」，將在很大程度上決定整個生態系在面對國家級駭客時，能否建立起足夠的集體韌性。