資安業者 Mandiant 近日警告，北韓駭客將目標鎖定在加密貨幣求職者，企圖散布惡意軟體竊取大筆加密幣資產。假扮招聘者的駭客透過 LinkedIn 等平台聯繫求職者，隨後發送帶惡意程式的檔案；一旦求職者不慎點擊，電腦便會感染惡意軟體，讓駭客竊取敏感資料，甚至植入後門程式進行長期攻擊。

過去幾年，加密貨幣如比特幣價格飆升，帶來可觀利潤，但同時針對 Web3 和幣圈的資安事故也頻頻發生。

駭客向求職者發送惡意檔案

研究指出，北韓駭客偽裝成公司代表，給開發人員和財務人員等求職者發送假的就職文件或技術測試工具。一旦開啟這些惡意 PDF 檔案或被植入惡意軟體的 ZIP 檔案，如 CovertCatch 和 RustBucket 等等，駭客便能持續監控受害者的電腦，並試圖竊取密碼和機密文件。

幣圈資安事故頻生

近年加密貨幣市場發生多宗大規模攻擊事件，其中最著名的是針對 NFT 遊戲 Axie Infinity 的駭客入侵事件, 有指是北韓駭客 Lazarus 所為。Axie Infinity 是一款 NFT 線上遊戲，玩家可透過加密貨幣交易來培育虛擬寵物並賺取收益；由於背後的區塊鏈網路 Ronin Network 的驗證機制漏洞，讓駭客成功入侵並盜走 173,600 個以太幣和 2,550 萬個 USDC，總值超過 6.25 億美元，被認為是去中心化金融（DeFi）史上最大宗的失竊案。

加密貨幣和區塊鏈技術的快速發展無疑帶來誘人的回報，但去中心化的特點也令機制缺乏中央監管，投資者需要自行承擔各種駭客攻擊和詐騙風險；一有不慎，損失可能相當巨大。據美國FBI報告，去年加密貨幣的詐騙造成的損失高達 56 億美元，按年增長了 45%。投資者在投資加密貨幣時應提高警惕，確保自身資產的安全。