Nordkoreanische Akteure haben in den ersten vier Monaten des Jahres 2026 etwa 577 Millionen US-Dollar erbeutet. Dies entspricht 76 % aller weltweiten Verluste durch Kryptowährungs-Hacks in diesem Zeitraum, so das Blockchain-Analyseunternehmen TRM Labs.
Die Verluste resultieren aus zwei Vorfällen im April, darunter der KelpDAO-Exploit in Höhe von 292 Millionen US-Dollar und der Angriff auf das Drift Protocol in Höhe von 285 Millionen US-Dollar. Laut einem TRM-Bericht machten diese 3 % aller Hack-Vorfälle im Jahr 2026 bis April aus.
Dem Bericht zufolge stammte der Drift-Angriff von einer nordkoreanischen Untergruppe, die von TraderTraitor, der gut dokumentierten Lazarus-nahen Operation, getrennt ist, obwohl die genaue Zuordnung noch untersucht wird. Die KelpDAO-Sicherheitslücke sei das Werk von TraderTraitor gewesen, hieß es.
Der Drift-Hack umfasste monatelange persönliche Treffen zwischen nordkoreanischen Stellvertretern und Drift-Mitarbeitern, so das TRM-Team. Die Inszenierung des Angriffs begann demnach bereits am 11. März, bevor der Angreifer Durable-Nonce-Konten auf Solana erstellte und die Multisig-Unterzeichner des Sicherheitsrats von Drift dazu brachte, Transaktionen vorab zu autorisieren.
Der Angreifer setzte dann am 1. April, Tage nachdem Drift seinen Sicherheitsrat auf eine neue 2/5-Schwellenwertkonfiguration ohne Zeitsperre umgestellt hatte, 31 vorab signierte Abhebungen ein, um Gelder in einer schnellen Ausführungsphase von etwa 12 Minuten abzuziehen, fügte das Team hinzu. Die Gelder wurden später auf Ethereum überbrückt, wo sie seitdem größtenteils inaktiv geblieben sind.
Der KelpDAO-Angriff folgte derweil einem anderen technischen Weg, indem er ein Single-Verifier-Design in einer LayerZero-Bridge ausnutzte, indem er die RPC-Infrastruktur kompromittierte und die Cross-Chain-Validierungslogik manipulierte, heißt es in dem Bericht.
TRM zufolge haben die Angreifer etwa 116.500 rsETH abgezogen, nachdem sie die Verifizierung erzwangen, auf kompromittierte Knoten umzuleiten. Die anschließende Geldwäsche wurde über Cross-Chain-Infrastrukturen, einschließlich THORChain, geleitet, nachdem teilweise Vermögenswerte auf Arbitrum eingefroren wurden.
Das TRM-Team sagte, Nordkoreas Anteil an den weltweiten Krypto-Hack-Verlusten habe sich „beschleunigt“ statt stagniert. Er stieg von unter 10 % in den Jahren 2020 und 2021 auf 22 % im Jahr 2022, 37 % im Jahr 2023, 39 % im Jahr 2024 und 64 % im Jahr 2025. Der kumulierte zugeschriebene Diebstahl übersteigt seit 2017 nun 6 Milliarden US-Dollar.
Das Unternehmen verwies auf die Bybit-Sicherheitslücke in Höhe von 1,46 Milliarden US-Dollar im Jahr 2025 als wichtigen Wendepunkt im jüngsten Aktivitätsprofil Nordkoreas. Seitdem, so TRM, sei die operative Kadenz konsistent geblieben, wobei Elitegruppen weniger, aber wirkungsvollere Angriffe auf Bridges, Multisig-Governance-Systeme und Cross-Chain-Infrastrukturen priorisieren.
TRM sagte, die Vorfälle bei Drift und KelpDAO würden unterschiedliche Geldwäscheansätze hervorheben. Eine mit Drift verbundene Gruppe hat die Vermögenswerte nach der anfänglichen Überbrückung zu Ethereum weitgehend inaktiv gelassen und wird die „Erlöse wahrscheinlich monate- oder jahrelang halten und dann eine strukturierte, mehrphasige Auszahlung durchführen.“
Die KelpDAO-Angreifer hingegen bewegten Gelder schneller durch Cross-Chain-Swaps in Bitcoin über THORChain, wobei die laufende Geldwäschephase laut TRM größtenteils von chinesischen Zwischenhändlern und nicht von den Nordkoreanern selbst abgewickelt wurde.
Zu den von TRM skizzierten Prioritäten für die Compliance-Überwachung gehören THORChain-verknüpfte Flüsse aus kompromittierten Bridge-Umgebungen, Multi-Hop-Transaktionsverfolgung über die Bridge-Infrastruktur hinweg und die Überprüfung von Solana-Governance-bezogenen Einzahlungspfaden, die Durable-Nonce-Transaktionen beinhalten.
Das Unternehmen hob auch die Teilnahme am Beacon Network über Börsen und DeFi-Protokolle hinweg als Mechanismus zur Beschleunigung der plattformübergreifenden Alarmierung hervor, sobald Nordkorea-bezogene Adressen identifiziert werden.
Disclaimer: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Kryptobereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Branche zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich Informationszwecken. Er stellt keine Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung dar und ist nicht dazu bestimmt, als solche verwendet zu werden.
