先講結論:北韓否認相關指控,係重要嘅外交背景;但 Ripple 同加密貨幣業界今次要做嘅,唔係即場審案,而係將一批「可以攞嚟防守」嘅訊號共享出去。
據報,Ripple 已開始透過 Crypto ISAC,向更廣泛嘅加密貨幣行業分享被評估為北韓相關黑客活動嘅內部威脅情報;共享內容包括與詐騙相關嘅域名、錢包地址同入侵指標(IOC)[2]。換句話講,重點唔係要即時在法庭上證明邊個負責,而係幫交易所、DeFi 項目同基建公司更早認出同一套滲透手法 [
1][
7]。
爭議點:否認存在,但保安團隊睇嘅係訊號
多家媒體報道,北韓一直否認加密貨幣黑客指控,稱相關說法係假資訊、帶政治目的嘅抹黑 [19][
20]。同一時間,美國及盟友仍持續把 Lazarus Group(拉撒路集團)等被指與北韓相關嘅組織,連到多宗大型加密貨幣盜竊案 [
17][
25]。
例如,美國參議員致財政部和司法部嘅信件稱,2025年2月 Bybit 被黑一案中,由北韓政府支持嘅 Lazarus Group 偷走約 15億美元數碼資產 [17]。另外,韓國、美國、日本聯合聲明亦指,北韓相關黑客喺 2024年至少盜取 6億5910萬美元加密貨幣 [
25]。
對企業保安團隊而言,最需要嘅未必係政治定性,而係可驗證、可比對、可封鎖嘅資料:域名、錢包地址、電郵、可疑帳戶、惡意行為模式。呢啲訊號可以成為監控、封鎖或者調查嘅起點 [2][
6]。
Crypto ISAC 係咩?Ripple 分享咩?
Crypto ISAC(Crypto Information Sharing and Analysis Center)可以理解為幣圈嘅資訊分享及分析中心;報道形容佢係聚焦加密貨幣保安嘅非牟利/威脅情報分享組織 [1][
2][
7]。
Ripple 透過呢個渠道提供內部威脅情報;已披露嘅項目包括詐騙相關域名、錢包地址同 IOC,而資料會透過新推出嘅 API,畀參與機構更快使用 [2]。部分報道亦提到,情報可能包括被懷疑攻擊者或被評估為北韓 IT 人員嘅人物資料,例如 LinkedIn 帳戶、電郵地址同聯絡資料 [
3][
6]。
呢類分享之所以有用,是因為攻擊者通常唔會只試一間公司。某個假招聘身份、某條錢包地址、某個可疑域名,可能今日喺一間交易所出現,聽日又去敲另一個 DeFi 團隊嘅門。透過 Crypto ISAC,單一公司發現嘅線索,有機會變成行業級早期警報 [2][
7]。
攻擊由「搵漏洞」轉向「搵人」
最近報道反覆講到一個轉變:攻擊目標唔再只係智能合約入面嘅程式漏洞。CoinMarketCap 指,攻擊者正由技術漏洞攻擊,轉向針對加密貨幣公司員工嘅社交工程行動 [2]。crypto.news 亦報道,保安團隊見到更多長線滲透:先建立信任、取得權限,之後先轉走資金 [
10]。
Drift Protocol 案例就被報道用嚟說明呢種變化。Binance Square 報道稱,涉及 Drift 嘅 2億8500萬美元事件,並非智能合約漏洞,而係長達六個月嘅社交工程滲透:攻擊者建立信任、植入惡意程式,最後盜取私鑰 [6]。如果呢個描述成立,單靠代碼審計就好難完全防得住。
點解業界要共享?四個實際原因
第一,IOC 可以加快偵測。 當詐騙域名、錢包地址同入侵指標透過 API 分享,參與機構可以喺保安營運入面更快做比對 [2]。
第二,社交工程會跨公司重用。 如果同一批假身份、聯絡方式、平台帳戶或錢包地址被反覆使用,一間公司嘅發現,就可能幫另一間公司避開陷阱 [3][
6]。
第三,歸責好慢,防守唔可以等。 北韓否認指控 [19][
20],但美國參議員及韓美日聲明仍把 Lazarus 或北韓相關組織連到大型加密貨幣盜竊 [
17][
25]。行業實務上,先擋住重複出現嘅模式,比等待外交或司法結論更即時。
第四,加密貨幣安全唔係單一公司嘅事。 交易所、錢包、DeFi 協議、跨鏈橋同基建商互相連接,一處失守可以令其他環節暴露風險;所以 Ripple 的分享可視為擴闊整個行業防守面 [1][
7]。
但要講清楚:「北韓相關」唔等於每宗都已定案
讀呢類新聞,最要緊係分清楚兩層意思:「被評估為北韓相關」係威脅情報語言;「最終法律責任」係司法/外交層面。北韓已把相關指控稱為虛假資訊及政治攻擊 [19][
20],而公開報道本身亦未必足以讓外界對每一宗案件作出同一程度嘅證據判斷。
不過,網絡保安現場通常唔會等到判決書先發警報。威脅情報更似火警鐘:佢提示某些錢包、域名、人物檔案、滲透路徑可能會再用。從呢個角度睇,Ripple 與 Crypto ISAC 的動作,唔係要用行業公告取代法庭定論,而係要喺攻擊重演前,令更多公司早一步見到同一批危險訊號 [2][
7]。
講到尾,Ripple 同幣圈分享北韓黑客相關情報,唔係為咗贏一場外交口水仗。真正原因係攻擊手法正由「爆 code」轉向「呃人、混入內部、攞權限」;既然風險會跨公司流動,防守訊號亦要跨公司流動 [2][
10]。
