朝鲜黑客伪装 IT 人员，成功窃取 Web3 项目近 100 万美元

• 伪装成 IT 人员的黑客利用 NFT 项目漏洞，盗取近 100 万美元。
• 2025 年，70% 的加密货币盗窃案与朝鲜有关，其中包括价值 15 亿美元的 Bybit 被黑事件。

新一轮加密货币安全漏洞再次席卷 Web3 领域，伪装成 IT 人员的黑客成功入侵了多个与 Pepe 创始人 Matt Furie 相关的 NFT 收藏项目，并窃取了接近 100 万美元的资产。

受害 Web3 项目及损失分析

据链上分析师ZackXBT透露，这些攻击者通过伪装成合法技术人员获取了 Favrr、Replicandy 和 ChainSaw 等项目的内部访问权限。

在获得权限后，他们操纵 NFT 铸造系统生成大量代币并大规模抛售，导致市场价值暴跌。

此次攻击不仅清空了项目资金，还破坏了受影响生态系统的稳定性，暴露了内部访问控制和项目安全方面的严重缺陷。

Replicandy 漏洞的时间线显示了一次有条不紊的攻击，且存在强烈迹象表明其与朝鲜 IT 人员相关。

黑客攻击的具体过程

6 月 18 日，Replicandy 合约的所有权被秘密转移到一个新地址 (0x9Fca)，随后提取铸币收益并重启铸造流程，最终通过向市场注入大量 NFT 压低底价。

6 月 23 日，类似的攻击模式再次出现，涉及 Peplicator、Hedz 和 Zogz 等收藏品，进一步引发贬值，造成总计超过 310,000 美元的损失。

链上分析追踪了被盗资金流向多个钱包，并最终发现流入 MEXC 的 USDT 存款。此外，两个可疑的 GitHub 开发者账户——“devmad119”和“sujitb2114”——也被确认与此事件相关。

内部日志揭示了更多危险信号，例如开发人员声称位于美国，但使用韩语设置、亚洲/俄罗斯时区以及 Astral VPN。

这些信号强烈表明，攻击者属于朝鲜协同行动的一部分，利用了 Web3 招聘中松散的安全审查流程。

尽管 Favrr 团队迅速采取措施加强用户安全，但 Chainsaw 仅发布了简短警告并随后删除。

与此同时，Matt Furie 始终保持沉默，暗示背后可能存在更复杂的背景。

朝鲜黑客势力的崛起

值得关注的是，与朝鲜相关的黑客在 2025 年变得更加猖獗。研究人员将超过 16 亿美元的被盗加密货币（占今年所有被盗加密货币的 70%）归因于朝鲜关联团体。

今年 2 月发生的惊天盗窃案——Bybit 被盗 15 亿美元——被认为是他们的杰作，这也是历史上规模最大的加密货币盗窃案。

这些犯罪分子，包括臭名昭著的 Ruby Sleet 组织，已经将其攻击范围扩展至加密货币领域之外。此前，他们曾渗透美国国防承包商，如今则通过虚假招聘活动和复杂的社会工程策略瞄准 IT 公司。

为应对日益严重的加密欺诈和安全漏洞问题，世界各国正在加强监管力度。

在美国，特朗普政府积极推进一系列支持加密货币的政策，旨在保护该行业免受歧视性银行行为和过度监管压力的影响。

这些措施包括一项待决行政命令，禁止金融机构针对加密货币公司，努力撤销 SEC 施加的限制（如 SAB 121），以及推动《GENIUS 法案》等立法框架，以明确稳定币和数字资产的规则。

与此同时，澳大利亚迅速采取行动，设定加密 ATM 现金交易限额为 5,000 澳元，并实施更严格的身份检查和实时诈骗警告。

总体而言，这些举措反映了国际社会正朝着更加安全、负责任的 Web3 环境迈进的趋势。