去中心化钱包应用Zerion公布安全事件事后报告：员工遭AI社交工程攻击 热钱包损失约10万美元

币圈子(120btc.cOM)：Zerion在4月公布的官方事后报告中指出，上周一名团队成员的装置遭到入侵，攻击者和北韩黑客相关，手法为「AI辅助社交工程攻击」，与SEAL(Security Alliance，由Paradigm等机构支持的加密白帽联盟)过去调查的案例相似。此次入侵导致公司用于测试与内部用途的热钱包(hot wallet，即连线状态的公司内部钱包)损失约10万美元，不涉及任何使用者资产。

攻击者偷到了什么？

报告说明，攻击者透过社交工程手法成功入侵该名员工的装置，取得其部分已登入的session(工作阶段)、认证凭证，以及公司热钱包的私钥。这三项要素足以让攻击者动用公司的内部测试资金。

不过，损失范围没有进一步扩大，Zerion说明主要有隔离设计，行动应用程序与浏览器扩充功能的版本建构(build)为独立隔离，攻击者即便取得部署凭证，也无法将恶意版本推送至正式环境，Zerion表示在发现凭证遭窃后已立即锁定部署基础设施。

此外后端API与内部服务也属完全隔离架构，且Zerion的钱包采完全自我托管设计，团队任何成员本就不持有使用者私钥。

后期处理

Zerion在事后报告中列出六项应对措施，时序上大多在发现入侵后即时执行：

• 锁定部署基础设施：确认凭证遭窃后立即封锁，防止恶意版本被推送至正式域名。

• 将webapp切换至维护模式：主动下线以降低攻击面，预计48小时内恢复。

• 轮换所有受影响凭证：所有私钥与可能遭曝露的认证信息全数替换，多签帐号重新设定。

• 全员装置扫描：所有团队成员执行指令码扫描装置，排查类似恶意软件，并评估所有关键存取点的凭证轮换需求。

• 与安全合作伙伴协作：联络Blockaid、ZeroShadow、ChainPatrol协助识别、标记并下架攻击者钱包与帐号，其中Blockaid已独立标记并封锁app.zerion.io域名。

• 向执法机构通报攻击者钱包地址：Zerion表示已追踪到被盗资金的具体地址，并通报相关执法机关。

北韩4月的第四起AI社工攻击

Zerion将此次事件定性为「AI辅助社交工程攻击」并归因DPRK，使这起事件成为4月加密圈遭受类似手法攻击的第四个案例。

依照日期，4月1日Drift Protocol损失2.85亿美元，TRM Labs与Drift将其归因于北韩关联组织UNC4736，调查指攻击者以长达六个月的社工潜伏取得存取许可权；3月31日Axiosnpm套件供应链遭入侵，UNC1069(另一DPRK关联组织)架设假冒Slack工作区与伪装Microsoft Teams更新提示散布远端存取木马(RAT)；3月Bitrefill遭黑，归因北韩黑客军团Lazarus。

Google Cloud于2026年2月发布的报告指出，UNC1069已在攻击中采用AI诱饵，包括客制化LinkedIn讯息与deepfake(AI深伪)面试影片，专门针对加密产业。

Zerion在事后报告结尾也提出同一警示：「提防在会议场景中出现的AI生成影片。」指的是deepfake视讯会议这个具体攻击的能力。