文章总结： 2026年4月北韩IT工人通过伪造身份渗透多个Solana生态DeFi项目核心团队，链上侦探ZachXBT揭露其使用化名渡边惠介同时为5-10个项目工作。事件导致Stabble协议TVL单日暴跌62%，行业暴露人治脆弱性与KYC失效问题。建议加强背景审查、代码权限隔离与多签机制应对潜伏威胁。 综合评分： 85 文章分类： 威胁情报,漏洞分析,供应链安全,安全建设,WEB安全

北韩”幽灵”开发者入侵DeFi：一人多职潜伏多个项目

原创

杜明 杜明

黑白之道

2026年4月10日 08:24 韩国

导语：2026年4月，DeFi行业连续遭遇重击。先是4月1日 去中心化永续合约协议Drift Protocol遭2.85亿美元黑客攻击（疑似北韩所为），紧接着链上侦探ZachXBT再度抛出重磅炸弹——揭露北韩IT工人已渗透进多个Solana生态项目核心团队。这不是电影剧本，而是正在发生的真实安全危机。

书接上文：黑客也翻车：朝鲜 IT 劳工因为“123456”弱口令，把月入百万的洗钱后台给丢了

昨天发布的文章，给了一个链接，有人问是不是蜜罐？哈哈，上当了吧，IP全让我看到了。开开玩笑的，那个ZachXBT 提供的链接。

ZachXBT 公布之后就轰动了，事情的发展这让想起之前北京有一个案子,派人应聘服务员，利用侧录器复制顾客银行卡信息并偷窥密码，制作伪卡盗刷。

#

上面这个截图，承包了一周的笑点。

这原本是一个项目方互相“客气”或标榜功绩的推文，结果被 ZachXBT 揭穿：那个被他们夸成“大神”的开发者，真实身份竟然是受制裁国家的网络行动人员。

Stabble 发现后立刻吓坏了（因为他们也用了同一个人）

一、事件回顾：从Elemental到Stabble的链式反应

1.1 链上侦探ZachXBT的重磅调查

4月7日，知名链上侦探 ZachXBT全研究员，长期追踪区块链犯罪）在X平台发布调查，揭露 Solana（区块链网络）生态 Elemental DeFi（去中心化基础设施项目）长期雇佣了一名北韩（DPRK）政府背景的开发人员。

根据ZachXBT的调查，这名开发者使用化名 渡边惠介（Keisuke Watanabe的音译），在代码托管平台GitHub和社交平台上还使用过 kasky53、keisukew53、kdevdivvy、0xWoo 等多个身份。ZachXBT披露了他的完整姓名、关联的Solana和以太坊（Ethereum）钱包地址、电子邮件以及详尽的OSINT（开源情报）证据。

1.2 Stabble的”午夜惊魂”

ZachXBT的推文发布后数小时，另一个Solana协议 Stabble（去中心化交易所，TVL约175万美元）迅速反应。

Stabble的新团队在核对资料后惊恐地发现：这名北韩开发者渡边惠介正是他们约一年前雇佣的CTO（首席技术官）！

更巧合的是，Stabble的新团队刚刚在4周前（2026年3月中旬）接手该项目，还没来得及完成全面审计。

4月7日当天，Stabble官方账号发出紧急通告：

“EMERGENCY! 请所有流动性提供者立即撤出流动性！宁可谨慎，不可后悔。”

1.3 后果：TVL单日暴跌62%

消息公布后几小时内，Stabble的TVL从约 175万美元 暴跌至 不足66.3万美元，跌幅超过 62%。

不过，Stabble团队随后澄清：

• 没有发生任何漏洞攻击
• 没有发生安全事件
• 用户资金安全

新团队在后续声明中表示：”我们不是公关人员，我们是量化交易员和早期DeFi玩家。我们的首要任务是保护流动性提供者的安全。”

二、深度分析：北韩IT工人的”群控”模式

2.1 一人多职：同时为5-10个项目”打工”

这并非孤立事件。ZachXBT的长期调查揭示，这些北韩开发者通常由一个有组织的团队运作：

| 特征 | 具体表现 | | — | — | | 一人多职 | 一个真实存在的北韩开发者，会通过AI生成的头像、伪造的领英（LinkedIn）和 Upwork（自由职业平台）账号，同时为 5-10 个DeFi项目工作 | | 资金流向 | 薪水通过洗币协议或中间人转往受制裁地址，最终流回朝鲜 | | 组织化运作 | 团队系统性购买假的社会安全号码、Upwork和领英账户、电话号码和电脑租赁服务 |

2.2 他们如何做到的？

根据此前加密货币媒体Cointelegraph的报道，北韩开发者通常采用以下手段：

• 伪造身份文件：持有伪造的政府身份证件、电话号码
• 专业包装：创建专业的领英和Upwork个人资料
• 冒名顶替：有些人甚至冒充 Polygon Labs（以太坊侧链开发公司）、OpenSea（NFT交易平台）、Chainlink（预言机网络）等知名企业的员工
• 远程操作：通过VPN伪造地理位置，利用AnyDesk（远程桌面软件）等远程工具操作，实际设备位于他处
• 社交融入：参与团队的日常闲聊，学习”DeFi圈内话”（Degen Slang），看起来和普通的海外开发者毫无二致

三、为什么”没人发现”？三大潜伏战术解密

3.1 战术一：简历包装

北韩开发者会宣称自己曾在 OpenSea、Chainlink、Polygon Labs 等大厂工作。他们能在面试中完美回答技术难题，甚至展现出优秀的代码能力和专业素养。

案例：ZachXBT调查显示，仅在2025年就有超过30个假身份被用于渗透加密货币项目。

3.2 战术二：外包掩护

• 以”远程承包商”身份切入项目
• 通过VPN伪造地理位置（通常伪装成日本或欧美）
• 利用AnyDesk等远程工具操作，实际设备位于他处
• 不直接暴露真实身份，降低被发现概率

3.3 战术三：小额渗透 + 长期潜伏

• 不一定一开始就偷钱

• 长期潜伏以获取：

• 代码合并权限（Code Merge Access）

• 多签（Multisig）授权

• 敏感系统访问权限

据区块链安全公司 Elliptic（英国区块链分析公司）统计，北韩关联的黑客已渗透超过 40个DeFi平台。

四、行业警示：为什么DeFi如此脆弱？

4.1 人治的脆弱性：Code is Law？

DeFi一直强调”Code is Law”（代码即法律），但现实是：

代码是由人写的。如果写代码的人本身就有后门意图，审计有时也难以发现这种逻辑陷阱。

时间线：

• 2026年4月1日：Drift Protocol（Solana生态去中心化永续合约协议）遭 2.85 亿美元黑客攻击（疑似北韩黑客所为，攻击持续数月，涉及社交工程）
• 2026年4月7日：Stabble紧急清退

行业正处于极度敏感期。Stabble的做法说明：现在的DeFi项目方宁可承认”请错人”造成恐慌，也不敢承担资产清零的风险。

4.2 KYC的失效

很多DeFi项目为了保持去中心化，招聘时只看 GitHub 代码水平，不验证真实身份。这给了北韩开发者可乘之机。

| 传统KYC | DeFi项目招聘 | | — | — | | 身份证件验证 | 不需要 | | 背景调查 | 不做 | | 薪资支付追溯 | 通过加密货币，难以追踪 | | 实名制 | 匿名/假名 |

五、反思与总结

“在DeFi的世界里，最大的安全漏洞可能不是智能合约的Bug，而是那个正坐在屏幕对面、与你共事两年的’同事’。”

行业应对建议

1. 背景审查升级：对核心开发人员进行严格的背景调查
2. 代码权限隔离：限制单个开发者的代码合并权限
3. 多签机制优化：增加多重审批流程
4. 持续监控：定期审查团队成员身份

Stabble事件并非终点，而是冰山一角。从Elemental DeFi到Stabble，从Drift的2.85亿到北韩开发者的”一人多职”，DeFi行业正在经历一场由 人 引发的信任危机。

当”去中心化”撞上”身份匿名”，当”代码即法律”遇到”写代码的人背叛”，这个年轻的行业需要重新审视自己的安全边界。

人物与机构简介：

• ZachXBT：知名链上侦探，长期追踪区块链犯罪和加密货币诈骗
• Elemental DeFi：Solana生态DeFi基础设施项目
• Stabble：Solana生态去中心化交易所
• Drift Protocol：Solana生态最大的去中心化永续合约交易所
• Elliptic：英国区块链分析公司，专注加密资产风险识别
• TRM Labs：美国区块链安全公司，提供链上分析服务
• Polygon Labs：以太坊Layer2解决方案Polygon背后的开发公司
• OpenSea：全球最大NFT交易平台
• Chainlink：去中心化预言机网络

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 杜明 杜明《北韩”幽灵”开发者入侵DeFi：一人多职潜伏多个项目》