Nordkoreanische Hacker haben in diesem Jahr bisher fast drei Viertel aller von Cyberkriminellen gestohlenen Kryptowährungen erbeutet – nicht durch eine unerbittliche Angriffskampagne, sondern durch zwei präzise ausgeführte Raubzüge, die im April dezentrale Finanzplattformen zum Ziel hatten, so ein neuer Bericht des Blockchain-Analyseunternehmens TRM Labs.
Die beiden Vorfälle – eine Sicherheitslücke im Drift Protocol in Höhe von 285 Millionen US-Dollar am 1. April und ein Exploit von Kelp DAO in Höhe von 292 Millionen US-Dollar am 18. April – machen zusammen 76 % aller bis April erfassten Krypto-Hack-Verluste aus, obwohl sie nur 3 % der gesamten Anzahl der registrierten Vorfälle darstellen.
Insgesamt schätzt TRM Labs, dass nordkoreanische Hacker seit 2017 über 6 Milliarden US-Dollar von Krypto-Protokollen und -Projekten gestohlen haben, darunter einige der schlimmsten Raubzüge der Branche.
Die Zahlen spiegeln eine beschleunigte Konzentration des Kryptowährungsdiebstahls durch staatlich unterstützte nordkoreanische Akteure wider. Pjöngjangs Anteil an den gesamten Krypto-Hack-Verlusten ist von unter 10 % in den Jahren 2020 und 2021 auf 22 % im Jahr 2022, 37 % im Jahr 2023, 39 % im Jahr 2024 und 64 % im Jahr 2025 gestiegen. Die Zahl von 76 % bis April 2026 ist der höchste anhaltende Anteil, der jemals verzeichnet wurde.
Der Angriff auf das Drift Protocol war bemerkenswert für seine Geduld. Die On-Chain-Vorbereitung begann am 11. März, und die Kampagne umfasste persönliche Treffen zwischen nordkoreanischen Mittelsmännern und Drift-Mitarbeitern über einen Zeitraum von Monaten – eine Taktik, die TRM-Analysten als potenziell beispiellos in Nordkoreas langer Krypto-Hacking-Kampagne beschrieben.
Die Angreifer nutzten eine Solana-Funktion namens 'durable nonce' aus, die es ermöglicht, vorab signierte Transaktionen zu speichern und zu einem späteren Zeitpunkt einzusetzen. Am 1. April wurden 31 Abhebungen in etwa 12 Minuten ausgeführt, wodurch reale Assets wie USDC und JLP entwendet wurden. Die gestohlenen Gelder wurden schnell nach Ethereum verschoben und liegen seitdem brach.
Der Kelp DAO-Angriff verlief anders. Die Angreifer kompromittierten zwei interne RPC-Knoten und starteten dann einen Denial-of-Service-Angriff gegen externe Knoten, wodurch der einzelne Verifizierer der Brücke gezwungen wurde, sich auf die manipulierten Datenquellen zu verlassen. Diese Knoten meldeten fälschlicherweise, dass der zugrunde liegende Vermögenswert auf der Quell-Chain verbrannt worden war, obwohl keine solche Aktion stattgefunden hatte, und etwa 116.500 rsETH – im Wert von rund 292 Millionen US-Dollar – wurden aus dem Ethereum-Bridge-Vertrag abgezogen.
Nach dem Kelp DAO-Diebstahl übte der Arbitrum Security Council Notstandsbefugnisse aus, um etwa 75 Millionen US-Dollar der gestohlenen Gelder, die im Netzwerk verblieben waren, einzufrieren – eine seltene Intervention, die eine schnelle Reaktion zur Geldwäsche hervorrief. Etwa 175 Millionen US-Dollar in ETH wurden dann in Bitcoin getauscht, hauptsächlich über THORChain, ein Cross-Chain-Liquiditätsprotokoll ohne Know-Your-Customer-Anforderung.
THORChain verarbeitete die überwiegende Mehrheit der Erlöse sowohl aus dem Bybit-Angriff im Jahr 2025 – dem schlimmsten Diebstahl der Branche mit über 1,4 Milliarden US-Dollar gestohlener Kryptowährungen – als auch aus dem Kelp DAO-Hack im Jahr 2026, indem es Hunderte Millionen gestohlener ETH in Bitcoin umwandelte, ohne dass ein Betreiber bereit war, Überweisungen einzufrieren oder abzulehnen.
TRM-Analysten stellten fest, dass die Gruppe ihre Werkzeuge offenbar verfeinert: Analysten haben begonnen zu spekulieren, dass nordkoreanische Akteure KI-Tools in ihre Aufklärungs- und Social-Engineering-Workflows integrieren, eine Entwicklung, die mit der zunehmenden Präzision von Angriffen wie Drift übereinstimmt, die Wochen gezielter Manipulation komplexer Blockchain-Mechanismen erforderten.
