北韓把加密貨幣變成了「武器」

18天，5億美元。這不是電影情節，是2026年4月正在發生的事。

在不到三週的時間裡，兩個加密貨幣協議——交易平台Drift與重質押協議Kelp——相繼遭到攻擊，合計損失超過5億美元（約新台幣165億元）。美國及國際調查機構將矛頭指向同一個名字：北韓駭客集團「Lazarus Group」。

然而，讓這場事件真正值得深思的，不是金額的龐大，而是攻擊方式的演變。

「簽名的謊言，依然是謊言」——Kelp如何被攻破

Kelp遭到攻擊的方式，令許多安全專家感到不安，原因恰恰是它的「平凡」。駭客並沒有破解任何密碼學，系統本身運作完全正常。問題在於：系統被餵入了被竄改的數據，進而批准了根本不存在的交易。

區塊鏈安全公司SVRN的營運長大衛·施韋德（David Schwed）直白地說：「這次攻擊不是破解密碼學，而是利用系統的設計方式。」ENS Labs的資安長亞歷山大·烏爾貝利斯（Alexander Urbelis）則用一句話點出核心：「簽名保證了發送者的身份，但不保證內容的真實性。簽名的謊言，依然是謊言。」

技術核心在於Kelp採用的「單一驗證者」設定——跨鏈訊息只由一個節點審核，速度快、設定簡單，卻也意味著只要突破這一個關卡，整個防線就會崩潰。LayerZero事後建議改用多個獨立驗證者，類似銀行轉帳需要多人簽核的機制。但Kelp方面隨即反擊，稱LayerZero的「預設設定」本來就是單一驗證者，雙方至今仍在爭論責任歸屬。

施韋德的批評更為根本：「如果你已經認定某種設定不安全，就不應該把它作為選項提供出去。假設每個人都會讀完文件並正確設定的安全機制，根本不切實際。」

損失沒有停在Kelp。在DeFi世界，協議之間的資產相互抵押、環環相扣。接受Kelp受損資產作為抵押品的大型借貸協議Aave，如今面臨高達2.3億美元（約新台幣76億元）的潛在壞帳。一個環節斷裂，整條鏈都在顫抖。

「去中心化」的行銷話術，遇上現實的集中化風險

這場攻擊撕開了DeFi長期以來最核心的矛盾。

廣告

廣告合作

[email protected]

廣告

「單一驗證者根本不是去中心化，」施韋德說，「它是一個中心化的去中心化驗證者。」烏爾貝利斯的觀察更具普遍性：「去中心化不是系統天生擁有的屬性，而是一系列選擇的結果。整個技術棧的強度，取決於其中最中心化的那一層。」

換言之，即便一個系統表面上「沒有人控制」，在數據提供者、跨鏈橋接、基礎設施等不易被外界看見的底層，往往潛藏著高度集中的風險點。而Lazarus集團，正是嗅到了這裡的氣味。

安全專家指出，該集團的攻擊重心已從過去針對交易所或明顯的程式碼漏洞，轉向跨鏈橋接與重質押協議——也就是DeFi的「管線系統」，那些連接不同區塊鏈、讓資產在生態系中流動的基礎層。這些層級持有巨量資產，卻難以監控，也容易被錯誤配置。

烏爾貝利斯的警語令人警醒：「這不是一系列獨立事件，而是一種節奏。你無法靠打補丁來逃脫一個有採購時間表的對手。」

地緣政治的維度：這筆錢流向哪裡

對於華語世界的讀者而言，這場事件有一個無法迴避的地緣政治背景。

根據聯合國安理會的報告，Lazarus集團竊取的資金，部分被用於支持北韓的核武與彈道飛彈開發計畫。換句話說，每一次DeFi協議的安全漏洞，都可能在某種程度上為東北亞的軍事緊張局勢提供資金。

對於台灣、香港及東南亞的加密貨幣投資者而言，這個連結並非抽象。當地區安全形勢與數位資產市場風險以如此直接的方式交織，投資決策本身也帶上了地緣政治的維度。

值得注意的是，中國大陸對加密貨幣交易採取全面禁止立場，這在客觀上隔絕了境內投資者直接暴露於此類DeFi風險的可能性。然而，這並不意味著完全免疫——透過境外管道參與的資金，以及使用加密貨幣進行跨境交易的企業，仍面臨相關風險。

已知的漏洞，才是最大的威脅

市場的反應迅速而直接。Bitcoin一度跌破76,000美元，DeFi生態系整體出現140億美元的資金外流。「DeFi已死」的聲音在社群媒體上此起彼伏。

但更值得關注的，或許不是市場的短期波動，而是這句話所揭示的結構性問題：「最大的風險不是未知的漏洞，而是那些眾所周知、卻從未被徹底修補的漏洞。」

Kelp事件沒有引入任何新型攻擊手法。它只是再次證明，當安全被視為「建議」而非「要求」，生態系統對熟悉的威脅依然毫無防備。而攻擊者的時間表，不會等待防守方的學習曲線。