طبق گزارش جدیدی از شرکت اطلاعات بلاکچین TRM Labs، هکرهای کره شمالی تاکنون در سال جاری نزدیک به سه چهارم کل رمزارزهای سرقت شده توسط مجرمان سایبری را به یغما برده‌اند – این کار نه از طریق یک کمپین بی‌وقفه حملات، بلکه از طریق دو سرقت دقیق و هدفمند از پلتفرم‌های مالی غیرمتمرکز در ماه آوریل صورت گرفته است.

این دو حادثه – یک نقض 285 میلیون دلاری پروتکل دریفت (Drift Protocol) در 1 آوریل و یک بهره‌برداری 292 میلیون دلاری از کلپ دائو (Kelp DAO) در 18 آوریل – در مجموع 76% از کل خسارات ناشی از هک‌های کریپتو را که تا پایان آوریل ردیابی شده‌اند، شامل می‌شوند، با وجود اینکه تنها 3% از کل تعداد حوادث ثبت شده را تشکیل می‌دهند.

در مجموع، TRM Labs تخمین می‌زند که هکرهای مرتبط با کره شمالی از سال 2017 تاکنون بیش از 6 میلیارد دلار از پروتکل‌ها و پروژه‌های کریپتو به سرقت برده‌اند که شامل برخی از بدترین سرقت‌های تاریخ این صنعت می‌شود.

این ارقام نشان‌دهنده تمرکز فزاینده سرقت رمزارز توسط عوامل کره شمالی مرتبط با دولت است. سهم پیونگ‌یانگ از کل خسارات ناشی از هک‌های کریپتو از کمتر از 10% در سال‌های 2020 و 2021 به 22% در سال 2022، 37% در سال 2023، 39% در سال 2024، و 64% در سال 2025 افزایش یافته است. رقم 76% در سال 2026 تا پایان آوریل، بالاترین سهم پایدار ثبت شده است.

حمله پروتکل دریفت به دلیل صبر و حوصله بی‌نظیرش قابل توجه بود. آماده‌سازی زنجیره‌ای در 11 مارس آغاز شد و این کمپین شامل دیدارهای حضوری بین واسطه‌های کره شمالی و کارمندان دریفت در طول چندین ماه بود – تاکتیکی که تحلیلگران TRM آن را در کارزار طولانی هک کریپتو کره شمالی بی‌سابقه توصیف کردند.

مهاجمان از قابلیتی در سولانا به نام "nonce پایدار" (durable nonce) سوءاستفاده کردند که امکان نگهداری و استقرار تراکنش‌های از پیش امضا شده در زمانی دیرتر را می‌دهد. در 1 آوریل، 31 برداشت در حدود 12 دقیقه اجرا شد که دارایی‌های واقعی از جمله USDC و JLP را تخلیه کرد. وجوه سرقت شده به سرعت به اتریوم منتقل شده و از آن زمان تاکنون غیرفعال مانده‌اند.

حمله کلپ دائو مسیر متفاوتی را در پیش گرفت. مهاجمان دو گره داخلی RPC را به خطر انداختند و سپس یک حمله محروم‌سازی از سرویس (denial-of-service) علیه گره‌های خارجی راه‌اندازی کردند و تأییدکننده واحد پل را مجبور کردند تا به منابع داده آلوده تکیه کند. آن گره‌ها به دروغ گزارش دادند که دارایی اصلی در زنجیره مبدأ سوزانده شده است، در حالی که چنین اقدامی رخ نداده بود، و تقریباً 116,500 rsETH – به ارزش تقریبی 292 میلیون دلار – از قرارداد پل اتریوم تخلیه شد.

پس از سرقت کلپ دائو، شورای امنیت آربیتروم (Arbitrum Security Council) از اختیارات اضطراری خود برای مسدود کردن تقریباً 75 میلیون دلار از وجوه دزدیده شده که در شبکه باقی مانده بود، استفاده کرد – مداخله‌ای نادر که واکنش سریع برای پولشویی را در پی داشت. تقریباً 175 میلیون دلار اتریوم سپس به بیت‌کوین تبدیل شد، عمدتاً از طریق THORChain، یک پروتکل نقدینگی بین‌زنجیره‌ای بدون نیاز به احراز هویت (KYC).

THORChain اکثریت قریب به اتفاق درآمدهای حاصل از نقض بای‌بیت (Bybit) در سال 2025 – بدترین سرقت تاریخ این صنعت، با بیش از 1.4 میلیارد دلار رمزارز دزدیده شده – و هک کلپ دائو در سال 2026 را پردازش کرد و صدها میلیون دلار اتریوم سرقت شده را به بیت‌کوین تبدیل نمود، بدون اینکه هیچ اپراتوری مایل به مسدود کردن یا رد تراکنش‌ها باشد.

تحلیلگران TRM خاطرنشان کردند که این گروه به نظر می‌رسد در حال تیز کردن ابزارهای خود است: تحلیلگران گمانه‌زنی کرده‌اند که اپراتورهای کره شمالی در حال ادغام ابزارهای هوش مصنوعی در جریان کارهای شناسایی و مهندسی اجتماعی خود هستند، پیشرفتی که با افزایش دقت حملاتی مانند دریفت، که نیازمند هفته‌ها دستکاری هدفمند مکانیسم‌های پیچیده بلاکچین بود، مطابقت دارد.