北韓不是國家贊助駭客，他們就是國家：TRM Labs 政策長拆解 Drift 2.85 億美金案背後的劇本

TL;DR

• 北韓今年靠 Drift 跟 KelpDAO 兩個案子就吃掉全球加密貨幣駭客損失的 76%，累計過去五年至少偷了 60 億美金
• Drift 那 2.85 億美金不是技術突破，是社交工程：北韓派代理人混進 conference 跟開發團隊吃了好幾個月飯，最後拿到 2-of-5 multisig 的鑰匙
• 北韓不是「國家贊助」的駭客團體，他們本身就是國家機構，從小開始挑會寫程式的小孩當駭客來養
• 防禦上 TRM Labs 推 Beacon Network 串起 85% 的中心化交易所跟 70 個全球執法機關，illicit 地址即時凍結
• Ari Redbord 喊話該打的不是 DeFi，是北韓本身。他想要的是 Letters of Marque 這種 cyber 版的私掠許可證

這集背景

Bankless 5 月 11 日這集邀請 TRM Labs 全球政策長 Ari Redbord 上節目。TRM Labs 是區塊鏈分析公司，性質類似 Chainalysis 但更偏執法跟國安端，全球幾乎每個主要政府機構（FBI、DEA、IRSCI、Secret Service、Homeland Security、英國 Met Police、韓國國家警察）都是他們的客戶。Ari 本人來頭不小，DOJ 當了十一年國安洗錢檢察官，後來去美國財政部當資深顧問，現在還是 CFTC 技術諮詢委員會副主席。四月二十一號他才剛上 House Homeland Security 委員會作證，談跨國犯罪集團怎麼用加密貨幣詐騙美國人。整集核心就是：北韓駭客為什麼可以橫掃 DeFi，產業要怎麼擋。

北韓駭客現在玩的是 OSINT 加陪吃飯

先說 Drift 案有多荒謬。四月一號北韓在十二分鐘內從 Drift 這個 Solana 上的 perp 協議搬走 2.85 億美金。但這不是什麼神秘的智能合約漏洞。三月二十七號 Drift 把 security council 改成 2-of-5 multisig 配置，北韓只要拿到五把鑰匙裡的兩把就贏了。

關鍵是他們怎麼拿到那兩把鑰匙的。Ari 在節目裡引用 CoinDesk 那篇報導：「北韓代理人坐在 Drift 員工對面，持續了好幾個月」。Drift 自己事後發的調查報告指出，駭客集團派人去參加各種 crypto conference，主動認識開發團隊成員，甚至假裝以一百萬美金投資進入專案，前後鋪了幾個月的局。

我看到這段的時候真的脊背一涼。因為一般人腦袋裡的北韓駭客就是那種坐在平壤某個地下室、套頭衫不洗的「shadowy super coder」形象。結果現實是他們派的是西裝筆挺、英文流利、可能還會跟你聊昨晚 hackathon 哪個 demo 最讚的人。Ari 自己之後去 Paris Blockchain Week 站著聊天的時候都有點 paranoia 上來。

這個劇本之前我在寫 北韓駭客已經坐在你的 DeFi 開發團隊裡 那篇 Nick Bax 的訪談就提過，但 Drift 案把整件事推到一個新的層級：不是遠端釣魚，是親自登門陪你打 lunch。

「國家贊助」這個詞用錯了，他們就是國家

Ari 在節目裡有個用詞校正我覺得滿關鍵的。他說過去這幾年他都拒絕用 state-sponsored（國家贊助）來形容 Lazarus Group，因為這詞會讓人誤以為背後是某個半獨立的駭客團體，政府只是睜一隻眼閉一隻眼。

實際上不是。北韓駭客就是北韓政府本身。

他用了一個很傳神的比喻：想想 1980 年代的蘇聯體操選手。北韓政府從小就在挑會 STEM 的小孩，給他們網路（北韓 99% 的人完全沒網路）、送他們去中國受訓比賽、把他們養成一支 cyber army。這跟 Russian 或 Chinese 的駭客生態不一樣，那邊還是有民間團體跟政府的灰色關係。北韓沒有，從上到下就是國家機器。

而且這個國家沒有經濟。沒有出口、沒有 GDP、沒有任何能讓金正恩買 Crown Royal 跟蓋飛彈的合法收入。所以從 1990 年代開始他們就在偷東西：偽鈔、偽香菸、駭 Sony Pictures、駭 Bangladesh 央行偷十億美金。crypto 只是這個演化路徑上最新一個 iteration。

Ari 講了一句話我覺得是這集最重要的判斷：「這是 internet 速度的銀行搶劫」。一年偷十億美金、五年累計 60 億美金，對北韓這種國家來說是天文數字。Bybit 去年那次 1.5 億美金，Ari 直接定調是「人類歷史上最大的銀行搶案」，沒有之一。

洗錢路徑：ETH 換 BTC 換中國地下匯兌

那偷到的錢怎麼變成飛彈零件？這部分 Ari 拆得很細。北韓跟一般洗錢者最大的差別是：他們不怕被追到，只怕來不及 off-ramp。

典型流程是這樣：ETH 偷到手後，七十二小時內全部用 ThorChain 換成 BTC（Bybit 案就是這樣跑的）。為什麼換 BTC？因為 Tether 跟 Circle 這種發行商有 freeze and reissue 的能力。北韓如果把 1.5 億美金停在 USDT 上根本是送人頭，所以 stable 不適合長期持有。BTC 的好處是夠去中心化、流動性夠、而且有比較成熟的混幣服務生態（Tornado Cash 在 ETH 上現在比較少用了）。

然後就是真正的關鍵：BTC 最後賣給誰。Ari 講的這個點我覺得很多人沒注意到：北韓、東南亞 pig butchering 集團、墨西哥 cartel，最後其實都把錢賣給同一群人，中國地下匯兌網路。這些 professional money launderers 是由三合會等中國組織犯罪集團經營的，在 crypto 出現之前就已經把洗錢專業化了，現在只是把工具升級。

TRM 在鏈上看到 cartel、北韓、pig butchering 這三條看似毫不相干的金流，最後都會匯流到同一批中國錢包地址。這個觀察才是真正讓我背脊發涼的地方：你以為 crypto 洗錢是各國駭客自己搞，其實後面有一個成熟的、跨地緣政治的 B2B 洗錢產業在 serve all clients。

Beacon Network：DeFi 守不住的，至少把出口堵起來

問題是這場戰要怎麼打。Ari 給的答案是兩條腿走路：守跟攻。

守的部分是 Beacon Network。Bybit 案之後 TRM 找上 Coinbase 跟 Binance 說我們速度跟不上北韓，做點什麼吧。最後拉起來一個聯盟：Kraken、OKX、Crypto.com、Ripple、Blockchain.com 這些把全球 85% 中心化交易量都涵蓋進來。然後加上 Stripe、Robinhood、PayPal 這些 fintech，再串 1inch、RhinoFi 等 DeFi 協議。最後再串上七十個全球執法機關當 flaggers。

運作邏輯是：illicit 地址被執法機關 flag 之後，Beacon alert 即時推到所有成員，會員方有義務凍結相關交易並協助返還資金。簡單說就是把 DeFi 的「鏈上自由流動」跟 TradFi 的「KYC 圍籬」做了一個 hybrid，你在鏈上隨便走，但要從鏈下出去的時候會撞牆。

這個設計的精妙處在於 DeFi 協議的角色：他們不需要做 KYC、不需要交給 law enforcement 用戶資料、不需要違反 permissionless 精神。他們做的事情單純就是 block 已知 illicit 地址。如果駭客想 off-ramp，他得繞到還沒加入 Beacon 的下游服務，TRM 跟其他成員再去 onboard 那個下游。

這個跟我之前寫 Aave 一夜被打掉兩億八千萬美金 那篇講到的 DeFi 風控有點像，產業需要的不是把每個協議都按 SOX 等級監管，而是把基礎設施的網狀防禦織起來。

Letters of Marque：把私掠許可證升級成 cyber 版

攻的部分就很 spicy 了。Ari 講到一個十八世紀的歷史先例：美國獨立戰爭跟 1812 年戰爭時期，政府會發 Letters of Marque（私掠許可證）給有船的私人去追海盜，抓到了你分 5%。

他想要的是 cyber 版的私掠許可證。讓 SEAL（Security Alliance）、ZachXBT 那種有能力的 OSINT 偵查員、白帽駭客領 license 去攻擊北韓。

這個提議聽起來很 cool 但其實有矛盾。第一個矛盾是不對稱性：DeFi 協議是攻擊面巨大的目標，反過來北韓拿到 BTC 之後是 raw asset 放冷錢包，你怎麼攻？Ari 自己也承認 Colonial Pipeline 那次 DOJ 能拿回贖金是因為某種方式拿到了私鑰，但細節是黑箱。

第二個矛盾是激勵：你給民間 cyber 賞金的時候，怎麼確保他們不會反過來搞合法用戶？這就是 crypto 隱私辯論裡所有人的核心顧慮。Ari 在這集講得很坦白：他不是 privacy maxi，但他相信 pseudonymous 是 crypto 該有的 sweet spot。TRM 內部從來不把錢包地址跟個人身分綁定，他們只標記實體（Coinbase、Tornado Cash、Uniswap）跟 illicit 行為（恐怖融資、北韓、制裁名單）。

關於 Tornado Cash 跟 Roman Storm 那個案子，他的立場是這樣：純粹寫 code 不該被告，但如果有證據顯示開發者主動跟 bad actor 共謀洗錢（比如 Helix 那種在 darknet market 上明目張膽打廣告的），那就另當別論。重點在 criminal intent，不在 code 本身。

Iran 也下場了：IRGC 直接把央行錢包搬上鏈

最後一段也值得記下來。OFAC 兩週前直接把 Iran 央行控制的一個錢包列入 SDN list，這是史上頭一遭。Tether 在 Tron 上凍結了 3.44 億美金 USDT。

Ari 觀察到的趨勢是：Iran 過去是零星交易，現在是用 crypto 基礎設施規模化。他們之前用兩個英國註冊的交易所 Zedsex 跟 ZedsexION 洗了將近十億美金，這兩家後來被美國財政部制裁。其中有個叫 Larjani 的 facilitator，本來十年前在 Iran 被判死刑（因為太會洗錢），結果現在被 IRGC 重新啟用，主攻 crypto。

至於 Iran 想用 crypto 在 Strait of Hormuz 收過路費這個傳聞，TRM 找遍鏈上沒有實質證據，但 Ari 認為 Iran 在「什麼都試」。這個 context 配上 Daniel Yergin 把霍姆茲危機叫做新時代的起點 那篇看，能源戰跟 crypto 戰其實是同一場戰爭的兩個前線。

我的幾個 takeaway

1. DeFi 的「shadowy super coder」想像該死了。對手已經是會穿西裝、會開英文 small talk、會做 due diligence 的職業國家公務員。social engineering 不是釣魚信，是陪你開三個月會。
2. 產業需要 cyber hygiene 的最低標。Ari 提到 Colonial Pipeline 之後白宮拉了一群公司訂出十條 cyber 防禦最佳實踐，DeFi 也該有。不是強制標準，是社群共識。
3. Beacon Network 是目前最 underrated 的基礎建設。85% 中心化交易所加七十個執法機關串成的圍籬，這個東西的價值會在下一次重大案件被低估的時候顯現出來。
4. 進攻策略還沒成熟，但方向是對的。不要再罵 victim 了，要去 target 北韓。問題是執行層面這條路還很長。

最後 Ryan 在節目尾巴丟了一句滿值得保留的提醒：「我們在用 good guys 跟 bad guys 二分法討論這些事，但要記得這個技術存在的初衷，就是當政府本身變成 bad guy 的時候，我們手上還有自由工具可以反抗。」這個視角在所有合規導向的對話裡都該保留。

---

這類產業安全跟監管的觀察，我會持續寫在 wilsonhuang.xyz，有興趣的話歡迎訂閱追蹤。