朝鲜在 Drift 平台发起的为期 6 个月的渗透行动，加剧了本已因数十亿美元黑客攻击而动荡的加密货币行业局势。随着事件细节逐渐清晰，核心问题转向朝鲜为何持续将目光锁定该领域及其作案手法的独特性。

安全专家指出，根本原因在于加密货币为朝鲜政权提供了维持运转的关键收入来源，SVRN 公司首席运营官戴夫·施韦德强调，朝鲜正遭受全面国际制裁，急需硬通货资助武器研发计划。联合国及多家情报机构已证实，通过盗窃加密货币获取资金是其发展核武器和弹道导弹的主要资金来源，这种紧迫性解释了朝鲜黑客为何选择在公共区块链上进行大规模且可追踪的盗窃活动。

与其他国家支持的黑客组织不同，朝鲜并未悄悄利用加密货币规避制裁，而是直接将其作为攻击目标，这源于制度层面的深刻差异。俄罗斯拥有石油、天然气出口及交易合作伙伴，仅需加密货币作为有限用途的支付工具；伊朗虽受制裁，仍可通过代理融资网络和中东中间人销售商品。

然而朝鲜出口产品几乎全遭制裁，经济体系无法正常运转，迫切需要直接收入来源，施韦德指出通过盗窃加密货币能立即获得全球流动性资金，无需寻找交易对手方。这种将加密货币视为基础设施还是攻击目标的根本区别，构成了朝鲜与其他国家黑客行为的分水岭。

俄罗斯利用加密货币规避制裁，伊朗用它支持中东代理网络，而朝鲜进行的则是国家主导的盗窃行动，ENS Labs 首席信息安全官亚历山大·乌尔贝利斯表示，其攻击目标涵盖交易所、钱包服务提供商、去中心化金融协议以及掌握操作权限或基础设施访问权的工程师和创始人。

相比之下，俄罗斯针对选举、能源基础设施和政府系统发动攻击，伊朗则针对异见人士和地区对手，两者利用加密货币仅是为了转移资金而非从生态系统中窃取。这种明确的攻击目标迫使朝鲜黑客采用通常与情报机构相关的策略，包括花费数月建立关系、伪造身份及渗透到供应链中。

Drift 事件仅是最新例证，乌尔贝利斯指出面对的不是随机诈骗分子的钓鱼邮件，而是专门花费 6 个月时间建立关系以攻破防护目标的对手。加密货币架构本身使其成为极具吸引力的攻击目标，传统金融体系中即使攻击成功也会遭遇合规审查、代理银行审核及结算延迟，甚至可能被要求撤销欺诈性转账。

2016 年朝鲜黑客袭击孟加拉国银行时，整个盗窃过程耗费数天，大部分被盗资金最终被追回或冻结，而在加密货币领域这些防护措施在协议层面根本不存在。一旦交易完成签名确认即意味着不可撤销，乌尔贝利斯以去年年初 Bybit 平台黑客攻击为例，15 亿美元资金在短短 30 分钟内被转移，这样的速度和规模在传统银行体系中几乎不可想象。

这种不可撤销性从根本上改变了安全防护逻辑，银行业可通过预防、检测和响应构建防御体系，因为存在冻结资金或撤销转账的机会，但在加密货币领域此类机会几乎不存在，这意味着在攻击发生之前阻止它不仅是可行的，更是唯一的选择。

此外，银行运营需遵守数十年监管规定和审计要求，而许多加密货币项目仍在摸索前行，往往更重视速度和创新而忽视治理结构和控制机制。这种差距使得即使是经验丰富的团队也容易受到攻击，尤其是面对朝鲜那种长期潜伏、精心策划的渗透战术时。乌尔贝利斯指出目前这在加密货币领域是最棘手的操作安全问题，认为该行业尚未找到解决办法。