国际制裁和疫情打击下，金正恩“金库”资金从何而来？

WendyWu

2017年，朝鲜平壤科技园区的计算机终端。近年来，盗窃加密货币已成为该政权日益重要的外汇来源。(photo:NYTimes)

首尔——朝鲜的经济因为联合国制裁和新冠病毒大流行而遭受重创。政府已就严重的粮食短缺发出警告。6月，一种不明的肠道疾病开始在民众中传播。

然而，朝鲜今年进行的导弹试验比以往任何一年都多。政府正在向党内精英提供新的豪宅。朝鲜领导人金正恩承诺为该国不断增长的武器库开发先进技术。新的核试验——该国的第七次——预计随时会发生。

资金从何而来？

今年4月，美国找到了这一谜题的关键部分，它公开指责朝鲜黑客从视频游戏《阿蟹》(Axie Infinity)窃取了6.2亿美元的加密货币。这是同类盗窃案中最大的一起，它提供了最有力的证据，证明在疫情期间，朝鲜通过盗窃加密货币这种获利丰厚且相对没有风险的途径筹集资金以维持统治，并为武器开发提供资金。

贫穷、孤立并受到严厉制裁的朝鲜长期以来一直通过非法活动来获取急需的现金。它贩卖武器、非法毒品和伪造百元面值的美钞。它的工人为缅甸军方挖掘隧道，为非洲独裁者建造雕像和纪念碑。它动用黑客来破坏外国网站，窃取企业和银行的资金。

最近两年，朝鲜由于疫情关闭了边界，传统银行也加固了针对黑客的防火墙，加密货币盗窃已成为朝鲜政权日益重要的外汇来源。据指控，它的黑客在2017年1月至2018年9月期间从加密货币交易所窃取了5.71亿美元，在2019年至2020年11月期间窃取了3.16亿美元。

根据加密货币数据公司Chainalysis的数据，朝鲜黑客去年可能偷走了近4亿美元的加密货币。今年，朝鲜获利略低于10亿美元。作为对比，根据韩国政府运营的统计机构的数据，朝鲜在2020年的官方出口收入仅为8900万美元。

加密货币绝不是稳定的资金来源。在过去的两个月里，市场发生了惊人的崩盘，数千亿美元的投资蒸发，比特币的价格自2020年底以来首次跌破2万美元。根据Chainaysis的说法，朝鲜在去年年底持有价值1.7亿美元的加密货币，这是该国盗取但未兑换成现金的资金。截至上周，这些储备仅值6500万美元。

但在朝鲜因疫情而将全国封锁之际，通过对加密货币交易所发起黑客攻击来产生收入的做法不但不会有感染新冠的风险，而且在政府监管有限的情况下也难以被追踪。

朝鲜的黑客在网络空间中游荡并发动毁灭性攻击时，由于该国大部分地区都处于与外界隔绝的状态，它自己几乎没有成为攻击目标的风险。“对朝鲜来说，这是一个低成本、低风险、高回报的犯罪活动，”韩国国家警察厅前首席反恐分析师刘东烈（音）说。

在首都平壤，几乎连运行电梯的电力都难以保证，而且大多数人没有电脑，更不用说上网了。然而，该国长期以来一直是世界上许多最厉害、最具攻击性的黑客的所在地。

在国际计算机编程竞赛中，朝鲜学生与世界顶尖大学的同龄人旗鼓相当。据韩国国家情报局称，2013年，金正恩称他的黑客是“一把万能剑”，与他的核武器和导弹的“无情瞄准能力”相提并论。

“他们的独特之处在于他们在政府计划下接受培训、部署和运作，”刘东烈说。根据韩国的估计，朝鲜拥有一支由大约6800名网络战士组成的军队——七个不同单位的1700名黑客和5100名技术支持人员。

有天赋的学生从小就经过精心筛选和培养。据韩国官员称，他们中的佼佼者参加由朝鲜主要的间谍机构——侦察总局管理的牡丹峰大学或军方下属的美林学院的黑客培训项目。毕业后，大多数人被分配到侦察总局的网络战部门——121部门。

在朝鲜，只有少数忠诚度经过当局审查的人员可以去国外工作。其中一些黑客经常冒充自由职业的计算机工程师，在中国、俄罗斯、白俄罗斯以及新加坡、菲律宾和马来西亚等东南亚国家开展活动。

《阿蟹》是一款基于区块链的游戏，玩家在游戏中赢得可以兑换加密货币的代币。今年早些时候，这款游戏成为6.2亿美元加密货币盗窃案的目标。(photo:NYTimes)

与其他在海外工作的朝鲜工人一样，这些黑客在平壤派来的政治指导员的监视下行动。

“如果你认为他们攻击别人的网络时会有道德上的内疚感，那你就错了，”美林学院毕业的张世逸（音）在接受采访时说道，他曾在朝鲜军队担任军官，2008年叛逃到韩国。“对他们来说，网络空间是一个战场，他们在那里同伤害他们国家的敌人作战。”

张世逸说，朝鲜最初开始建设电子战能力是出于防御目的，但很快意识到，它可以成为打击数字敌人的有效进攻性武器。

在张世逸来到首尔前后，韩国和美国的网站遭受了一波网络攻击。朝鲜黑客使用Lazarus、Kimsuky和BeagleBoyz等名字，利用越来越复杂的工具渗透到世界各地的军队、政府、企业和国防工业网络，进行网络间谍活动，窃取敏感数据，为武器开发提供帮助。

“别搞错，DPRK黑客真的很厉害，”联合国专家小组协调员埃里克·潘顿—瓦克在4月的一次网络研讨会上说，DPRK是朝鲜的官方名称朝鲜民主主义人民共和国的首字母缩写。“他们关注的是加密货币，这是一个非常有趣、非常灰色的新领域，因为实际上，第一，没有人真正了解它们，第二，他们可以利用其弱点。”

据Chainaysis报道，朝鲜黑客通常使用网络钓鱼攻击，用虚假的领英招聘页面或其他诱饵引诱受害者，从而攻破外国加密钱包。然后，黑客使用一套复杂的金融工具转移被盗资金，通过结合多个数字资产流的加密货币“混合器”转移赃款，使得跟踪某一批特定加密货币的移动变得更加困难。

“他们洗钱的方式非常有条理。”Chainalysis的高级调查总监艾琳·普兰特说：“他们有条不紊，在很长一段时间内进行小额移动，最终试图逃避调查。”

最后一步是将加密货币变成现金。一般来说，朝鲜使用离岸交易所，将被盗的加密货币转换成人民币。“他们把偷来的大部分资金变现了，”普兰特说。“这是他们逃避制裁的一个非常有力的工具。”

今年春天加密货币抢劫案的目标——电子游戏《阿蟹》是由2018年在越南成立的Sky Mavis公司开发。该游戏允许参与者在玩游戏过程中积累加密货币。截至去年，它的日活跃用户已超过250万。这款游戏的流行让Sky Mavis成为了攻击目标：Sky Mavis的员工在各种社交渠道上不断遭受先进的鱼叉式网络钓鱼攻击。

Sky Mavis的创始人之一亚历山大·伦纳德·拉森说，该公司是在一名员工下载了Word文档后遭到黑客攻击的。他说，这名员工已经不在公司工作了。

“整个行业迟早都要面对这一后果，”拉森说道。他还表示，朝鲜黑客对他的公司发起的攻击应该成为全行业的“警钟”，提醒它需要应对日益严重的安全威胁。

美国政府一直在努力打击盗窃行为，并惩罚那些试图为黑客提供便利的人。今年4月，美国加密货币专家维吉尔·格里菲斯被判处63个月监禁，罪名是在2019年未经授权前往平壤参加一场会议，并向朝鲜人传授加密货币及其背后的技术。

美国还起诉了三名朝鲜黑客，指控他们参与了“范围广泛的犯罪阴谋”，包括从银行和加密货币公司窃取超过13亿美元。其中一名黑客朴振赫（音）曾打着“朝鲜博览会”的旗号在中国从事信息技术工作，美国官员称朝鲜博览会是一家隶属于朝鲜Lazarus组织的幌子公司。

上周，流行的加密货币平台Harmony宣布，它的1亿美元数字货币被小偷偷走。Chainalysis追踪了资金的流向，它们被输送到一个加密货币混合器中。Chainalysis周一表示，这些交易遵循一种熟悉的套路。罪魁祸首显然是朝鲜。