朝鮮加密貨幣運作揭秘：ZachXBT最新調查報告

區塊鏈調查員 ZachXBT 發布了他迄今最詳細的報告之一，揭示了北韓 IT 工作者如何每月從加密貨幣產業中竊取數百萬美元。

一位匿名消息人士向 ZachXBT 提供了從北韓內部支付伺服器洩露的資料。該資料集包含 390 個帳戶、私人聊天記錄以及從 2025 年 12 月到 2026 年 4 月的加密貨幣交易記錄。所有這些資料以前從未公開過。ZachXBT 在其中發現了一個完全運作、有組織的計畫，透過詐欺性身份、偽造法律文件和嚴密的加密貨幣兌換法幣網路，每月產生約 100 萬美元的收入。

該行動的核心是一個名為 luckyguys[.]site 的網站——這是北韓 IT 工作者用來向上級報告付款的內部匯款平台。可以把它想像成一個專門為資金轉移而建立的私人通訊軟體。該平台的預設密碼是 123456，有十個用戶從未更改過。用戶列表包括真實的韓國姓名、城市位置、編碼的群組名稱和分配的角色。資料中出現的三家公司目前都受到美國外國資產控制辦公室（OFAC）的制裁：Sobaeksu、Saenal 和 Songkwang。

自 2025 年 11 月下旬以來，超過 350 萬美元通過與該網路相關的支付錢包地址。所有用戶的方法都保持一致。工作者會從交易所或服務商接收加密貨幣，或者透過 Payoneer 等平台將收益透過中國銀行帳戶兌換為法幣。一個僅被識別為 PC-1234 的中央管理員帳戶會確認收款，並分發當前週期使用的任何交易所或金融科技平台的憑證。一個 Tron 支付地址在 2025 年 12 月被 Tether 凍結——這意味著有人已經知道此事正在發生。但這並沒有阻止該網路的運作。

一名被稱為「Jerry」的工作者被發現在連接 Astrill VPN 的情況下，使用虛假身份申請遠端工作。內部訊息顯示，工作者們正在討論一篇關於一名北韓 IT 工作者在面試中使用深度偽造技術被捕的新聞報導，他們緊張地自言自語，想知道是不是他們中的一員。發現有三十三名工作者在同一個網路中通訊。這不是一個小的孤立單元。這是一個有組織、有紀律、有明確指揮鏈的工作團隊。

在 2025 年 11 月至 2026 年 2 月期間，該網路的管理員分發了 43 個培訓模組，內容聚焦於 Hex-Rays 和 IDA Pro——這是用於逆向工程和二進位分析的專業工具。這些材料涵蓋了反組譯、反編譯、偵錯以及解包惡意執行檔。這些並非基礎詐騙操作的工具。它們是準備造成嚴重損害的人員所使用的工具。

ZachXBT 小心地指出，這個群體處於更危險的北韓威脅組織之下，例如 AppleJeus 和 TraderTraitor，後者對有記錄以來一些最大的加密貨幣盜竊案負有責任。這個群體層級較低。但層級較低並不意味著無害。ZachXBT 先前估計，北韓 IT 工作者每月在整個產業中總共產生數百萬美元的收入，而這項調查有憑有據地支持了這一數字。在 ZachXBT 發布報告後不久，該內部支付網站就下線了。所有資料都已被歸檔。

產業回應

ZachXBT 的報告並非悄無聲息地發布。它在業界已經在努力應對北韓在加密貨幣團隊中存在規模問題的一周中發表。報告發布前幾天，MetaMask 安全研究員 Taylor Monahan 聲稱，超過 40 個 DeFi 平台在不知情的情況下僱用了國家資助的北韓開發者，有些甚至可以追溯到 2020 年的 DeFi 之夏。「許多北韓 IT 工作者建立了你們所熟知和喜愛的協議，」她在 X 上寫道，並補充說，這些工作者中的許多人擁有真正的區塊鏈經驗，這使得他們極難被識別。

ZachXBT 本人被問及這些策略的複雜性時，直言不諱：「透過職位發布、LinkedIn、電子郵件、Zoom 或面試進行的威脅是基本且一點也不複雜的，」他說。「唯一的問題是他們鍥而不捨。」

更廣泛的社群反應褒貶不一。許多人指出，當被警告潛在的安全威脅時，團隊會採取防禦姿態，這顯示他們在招聘方面存在疏忽。其他人則指出數據：2025 年，與北韓相關的團體竊取了至少 20.2 億美元的加密貨幣——佔當年全球竊盜案的 60%——其中包括一筆 15 億美元的 Bybit 駭客攻擊事件。這項最新調查並非孤立事件。它是一個更大行動中可見的一部分。

這項調查清楚表明，北韓的加密貨幣行動並不是一群散兵游勇式的自由工作者。它是一個結構化、層級化的企業，擁有經手人、管理員、受過訓練的工作者和一個已不間斷運行數月的支付基礎設施。對於任何僱用遠端貢獻者的加密專案、交易所或 DAO 來說，這都不是一個遙遠的問題。這些工作者現在正在申請工作，他們擁有精心製作的作品集和可能不是他們本人的面孔。驗證從未如此重要。

區塊鏈是透明的。這些網路正指望業界不會留意。