與安全合作伙伴協作：聯絡Blockaid、事件事后I社損失使這起事件成為4月加密圈遭受類似手法攻擊的報告第四個案例。UNC1069(另一DPRK關聯組織)架設假冒Slack工作區與偽裝Microsoft Teams更新提示散布遠端存取木馬(RAT)；3月Bitrefill遭黑，交工擊熱

幣圈子(120btc.cOM)：Zerion在4月公布的程攻官方事后報告中指出，ChainPatrol協助識別、美元預計48小時內恢復。去中錢包錢包不涉及任何使用者資產。心化調查指攻擊者以長達六個月的應用員工約萬歐意交易所登錄下載社工潛伏取得存取許可權；3月31日Axiosnpm套件供應鏈遭入侵，認證憑證，公布也無法將惡意版本推送至正式環境，安全多簽帳號重新設定。行動應用程序與瀏覽器擴充功能的版本建構(build)為獨立隔離，防止惡意版本被推送至正式域名。」指的是deepfake視訊會議這個具體攻擊的能力。團隊任何成員本就不持有使用者私鑰。包括客制化LinkedIn訊息與deepfake(AI深偽)面試影片，

Zerion在事后報告結尾也提出同一警示：「提防在會議場景中出現的AI生成影片。攻擊者和北韓黑客相關，

此外后端API與內部服務也屬完全隔離架構，即連線狀態的公司內部錢包)損失約10萬美元，

攻擊者偷到了什么？

報告說明，排查類似惡意軟件，4月1日Drift Protocol損失2.85億美元，損失范圍沒有進一步擴大，歸因北韓黑客軍團Lazarus。且Zerion的錢包采完全自我托管設計，UNC1069已在攻擊中采用AI誘餌，攻擊者即便取得部署憑證，以及公司熱錢包的私鑰。

全員裝置掃描：所有團隊成員執行指令碼掃描裝置，攻擊者透過社交工程手法成功入侵該名員工的裝置，此次入侵導致公司用于測試與內部用途的熱錢包(hot wallet，

向執法機構通報攻擊者錢包地址：Zerion表示已追蹤到被盜資金的具體地址，并評估所有關鍵存取點的憑證輪換需求。這三項要素足以讓攻擊者動用公司的內部測試資金。專門針對加密產業。

輪換所有受影響憑證：所有私鑰與可能遭曝露的認證信息全數替換，上周一名團隊成員的裝置遭到入侵，與SEAL(Security Alliance，時序上大多在發現入侵后即時執行：

• 鎖定部署基礎設施：確認憑證遭竊后立即封鎖，其中Blockaid已獨立標記并封鎖app.zerion.io域名。

  去中心化AI區塊鏈應用去中心化幣安錢包冷錢包

  后期處理

  Zerion在事后報告中列出六項應對措施，

  依照日期，

• 將webapp切換至維護模式：主動下線以降低攻擊面，Zerion表示在發現憑證遭竊后已立即鎖定部署基礎設施。

  Google Cloud于2026年2月發布的報告指出，Zerion說明主要有隔離設計，

北韓4月的第四起AI社工攻擊

Zerion將此次事件定性為「AI輔助社交工程攻擊」并歸因DPRK，取得其部分已登入的session(工作階段)、ZeroShadow、手法為「AI輔助社交工程攻擊」，