به گفته شرکت اطلاعات بلاکچین TRM Labs، عاملان کره شمالی در چهار ماهه اول سال ۲۰۲۶، حدود ۵۷۷ میلیون دلار را ربودند که این مبلغ ۷۶ درصد از کل زیان‌های جهانی ناشی از هک رمزارزها در این دوره را شامل می‌شود.

این زیان‌ها از دو حادثه در ماه آوریل ناشی می‌شوند، از جمله اکسپلویت ۲۹۲ میلیون دلاری KelpDAO و حمله ۲۸۵ میلیون دلاری به پروتکل Drift، که به گفته TRM در گزارشی، ۳ درصد از کل حوادث هک در سال ۲۰۲۶ تا ماه آوریل را تشکیل می‌دهند. 

بر اساس این گزارش، حمله Drift از یک زیرگروه کره شمالی جدا از TraderTraitor، عملیات مستند شده وابسته به گروه لازاروس، صورت گرفته است، اگرچه انتساب خاص آن هنوز در دست بررسی است. TRM افزود که نقض امنیتی KelpDAO کار TraderTraitor بوده است. 

تیم TRM گفت که هک Drift شامل ماه‌ها جلسات حضوری بین نمایندگان کره شمالی و کارمندان Drift بود، و اشاره کرد که آماده‌سازی این حمله از اوایل ۱۱ مارس آغاز شد، پیش از آنکه مهاجم حساب‌های نانس پایدار (durable nonce accounts) را در سولانا ایجاد کند و امضاکنندگان چندامضایی (multisig signers) شورای امنیت Drift را ترغیب کند تا تراکنش‌ها را پیش‌تأیید کنند. 

سپس مهاجم در اول آوریل، چند روز پس از آنکه Drift شورای امنیت خود را به پیکربندی جدید آستانه ۲ از ۵ با قفل زمانی صفر منتقل کرده بود، ۳۱ برداشت از پیش امضا شده را برای تخلیه وجوه در یک فاز اجرای سریع که تقریباً ۱۲ دقیقه به طول انجامید، اجرا کرد. این وجوه بعداً به اتریوم پل زده شدند، جایی که از آن زمان تاکنون عمدتاً غیرفعال باقی مانده‌اند.

در همین حال، حمله KelpDAO مسیر فنی متفاوتی را دنبال کرد؛ طبق گزارش، با به خطر انداختن زیرساخت RPC و دستکاری منطق اعتبارسنجی بین زنجیره‌ای، از طراحی تک-تأییدکننده (single-verifier design) در پل لایه صفر (LayerZero bridge) سوءاستفاده شد. 

TRM گفت که مهاجمان پس از مجبور کردن تأیید به سمت گره‌های به خطر افتاده، تقریباً ۱۱۶,۵۰۰ واحد rsETH را تخلیه کردند، و پولشویی متعاقب آن از طریق زیرساخت‌های بین زنجیره‌ای، از جمله THORChain، پس از مسدودسازی جزئی دارایی‌ها در Arbitrum، هدایت شد.

سهم کره شمالی از سرقت رمزارزها تسریع می‌شود

تیم TRM گفت که سهم کره شمالی از زیان‌های جهانی هک رمزارزها "تسریع" شده است، نه اینکه به ثبات رسیده باشد؛ این سهم از کمتر از ۱۰% در سال‌های ۲۰۲۰ و ۲۰۲۱ به ۲۲% در سال ۲۰۲۲، ۳۷% در سال ۲۰۲۳، ۳۹% در سال ۲۰۲۴ و ۶۴% در سال ۲۰۲۵ افزایش یافته است. سرقت‌های منتسب شده انباشته از سال ۲۰۱۷ تاکنون از ۶ میلیارد دلار فراتر رفته است.

این شرکت به نقض امنیتی ۱.۴۶ میلیارد دلاری Bybit در سال ۲۰۲۵ به عنوان یک نقطه عطف کلیدی در پروفایل فعالیت‌های اخیر کره شمالی اشاره کرد. TRM گفت که از آن زمان، ریتم عملیاتی ثابت مانده است، با گروه‌های نخبه که حملات کمتر اما با تأثیر بیشتر را با هدف قرار دادن پل‌ها، سیستم‌های حاکمیتی چندامضایی، و زیرساخت‌های بین زنجیره‌ای در اولویت قرار می‌دهند.

TRM گفت که حوادث Drift و KelpDAO رویکردهای متفاوت پولشویی را برجسته می‌کنند. یک گروه مرتبط با Drift دارایی‌ها را پس از پل زدن اولیه به اتریوم عمدتاً غیرفعال نگه داشته است و احتمالاً "درآمدها را برای ماه‌ها یا سال‌ها نگه می‌دارند، سپس یک تسویه نقدی ساختاریافته و چندمرحله‌ای را اجرا کنند."

در همین حال، مهاجمان KelpDAO طبق گفته TRM، وجوه را سریع‌تر از طریق مبادله‌های بین زنجیره‌ای به بیت‌کوین از طریق THORChain جابجا کردند، و مرحله پولشویی در حال انجام عمدتاً توسط واسطه‌های چینی، نه خود کره شمالی‌ها، مدیریت می‌شود. 

اولویت‌های نظارت بر انطباق که توسط TRM مشخص شده‌اند شامل جریان‌های مرتبط با THORChain از محیط‌های پل به خطر افتاده، ردیابی تراکنش‌های چند مرحله‌ای (multi-hop) در زیرساخت پل، و بررسی مسیرهای سپرده‌گذاری مرتبط با حاکمیت سولانا شامل تراکنش‌های نانس پایدار هستند. 

این شرکت همچنین مشارکت شبکه بیکن (Beacon Network) در صرافی‌ها و پروتکل‌های دیفای را به عنوان مکانیزمی برای تسریع هشداردهی بین پلتفرمی پس از شناسایی آدرس‌های مرتبط با کره شمالی برجسته کرد.