比駭客更危險的是自己人？北韓駭客再出擊，瞄準的是 Web3「散漫文化」

從 2022 年 Ronin Bridge 遭駭 6.25 億美元，到 2025 年的多起高調攻擊，北韓駭客正將加密世界視為提款機。資安公司 Oak Security 分析，他們不再只是用漏洞攻擊智能合約，而是瞄準 Web3 團隊最脆弱的一環：人。這場攻防戰，已不再是技術與技術的對決，而是安全文化與鬆散管理的拉鋸戰。

(水家人流下眼淚！Sui 主要 DEX Cetus 丟失超過 2.6 億美元，蒸發 83% TVL)

北韓駭客火力全開，2025 年再盜數十億美元

北韓背景的駭客行動愈發活躍。僅在 2025 年，他們就發起一連串針對加密產業的高精度攻擊行動，意圖盜取資產、滲透核心團隊。他們試圖從交易所 Bybit 中竊取價值高達 15 億美元 的資產，利用假徵才信騙取帳密，並已成功洗出數百萬美元。

此外，他們還針對 MetaMask 與 Trust Wallet 發動惡意程式攻擊，試圖透過「偽裝成求職者」的方式滲透交易所內部，更在美國境內設立空殼公司，專門鎖定加密開發者下手。

這些攻擊越來越精細，手段越來越多元，但核心並不在於技術突破，而是針對「操作安全」的破綻下手。

(北韓駭客盯上台灣交易所？BitoPro 幣託遭駭失 1150 萬美元，疑似與 Bybit 15 億失竊案同集團)

駭客不再找漏洞，他們只找人類失誤

Web3 團隊長年專注在智能合約安全，卻普遍忽略組織運營中的營運安全問題（OPSEC，Operational Security）。來自 Oak Security 的專家指出，該公司已對 600 多個加密專案進行安全審計，發現大多數團隊對營運安全幾乎沒有設防。

常見問題包括：

• 私鑰管理鬆散

• 貢獻者透過 Discord 入職，未經任何身份驗證

• 關鍵代碼從未加密的個人筆電直接部署

• 治理與資金決策透過 Discord 投票進行

這些錯誤，讓專案團隊成為「不費吹灰之力」的攻擊對象。

僅靠程式碼防守，不足以抵禦現代攻擊

傳統智慧認為「只要智能合約審計通過，系統就安全了」，但現實卻完全相反。駭客根本不需要突破 Solidity 的零日漏洞，只要滲透一位內部人員，就能癱瘓整個專案。

2025 年 5 月，Coinbase 就因一名海外客服人員遭到駭客賄賂，導致客戶資料外洩，面臨 1.8 億至 4 億美元 的賠償與勒索風險。同樣的手法也試圖應用於 Binance 與 Kraken。

這些事件都不是技術錯誤，而是人為疏失。

Web3 的日常作業，成了駭客天堂

目前 Web3 團隊的日常操作堪稱駭客夢想：

• 無正式入職流程

• 無設備控管與端點防護

• 關鍵治理與財務會議紀錄存放於未加密的 Google Docs 或 Notion

• 發生事故時無應變計劃，只能「靠 Discord 臨時協調」

更令人擔憂的是，有些 DAO 掌管上億美元資產，卻用業餘的 Discord 投票與「週末版多簽」進行治理，安全漏洞如同開門迎賊。

傳統金融如何守住百億資產？Web3 該學習的地方還很多

傳統金融（TradFi）機構同樣面對來自北韓駭客與全球網攻壓力，但鮮少因此停擺，靠的是系統性防禦與成熟的安全文化。

銀行內部制度包含：

• 員工無法從個人設備操作交易

• 嚴格的身份與設備管理

• 明確分工與職責隔離

• 定期演練事故應變計劃

這些都不只是「為了合規」，更是保命之道。Web3 若真想長久發展，就得從這些制度中學習，打造符合去中心化特性的全方位安全框架。

安全不該只是「選配」，Web3 需要徹底改革文化

一些前衛項目已開始導入：

• 制式的 OPSEC 準則

• 紅隊演練（Red Team Simulations）

• 使用硬體錢包搭配多簽治理

• 背景審查與身份驗證機制

• 安全專責人與外部顧問常駐

但可惜的是，這類措施仍是少數例外，絕非產業常態。

去中心化不是不負責任的藉口

Web3 安全落後的一個核心原因，是「去中心化」與「安全控制」之間的矛盾。許多團隊預算不足、人員流動性高，甚至對資安有文化抗拒，認為「設定防火牆就是中心化」。

但現實很殘酷：北韓駭客已在系統內部，世界經濟也正逐步建立在區塊鏈之上。

若 Web3 繼續容忍這樣的運營鬆散，駭客與詐騙集團將會持續視其為「永續資金池」。要止血，不是寫出完美程式碼，而是建立更成熟的組織安全文化。

這篇文章 比駭客更危險的是自己人？北韓駭客再出擊，瞄準的是 Web3「散漫文化」 最早出現於 鏈新聞 ABMedia。