Nakakuha ang mga aktor ng Hilagang Korea ng humigit-kumulang $577 milyon sa unang apat na buwan ng 2026, isang halagang kumakatawan sa 76% ng lahat ng pandaigdigang pagkalugi mula sa cryptocurrency hack sa panahong iyon, ayon sa blockchain intelligence firm na TRM Labs.
Ang mga pagkalugi ay nagmula sa dalawang insidente noong Abril, kabilang ang $292 milyong KelpDAO exploit at ang $285 milyong pag-atake sa Drift Protocol, na ayon sa TRM sa isang ulat ay bumubuo sa 3% ng kabuuang insidente ng hack noong 2026 hanggang Abril.
Ayon sa ulat, ang pag-atake sa Drift ay nagmula sa isang subgroup ng Hilagang Korea na hiwalay sa TraderTraitor, ang kilalang operasyon na konektado sa Lazarus, bagama't patuloy pa rin ang imbestigasyon sa partikular na pagpapatungkol. Ang paglabag sa KelpDAO ay gawa ng TraderTraitor, sinabi nito.
Ang Drift hack ay sangkot ang buwan-buwang personal na pagpupulong sa pagitan ng mga kinatawan ng Hilagang Korea at mga empleyado ng Drift, sinabi ng TRM team, na binanggit na nagsimula ang pagpaplano ng pag-atake noong Marso 11 bago lumikha ang umaatake ng durable nonce accounts sa Solana at hinikayat ang mga multisig signer ng Security Council ng Drift na i-pre-authorize ang mga transaksyon.
Pagkatapos, noong Abril 1, ilang araw matapos ilipat ng Drift ang Security Council nito sa isang bagong 2/5 threshold configuration na walang timelock, nag-deploy ang umaatake ng 31 pre-signed na pag-withdraw upang ubusin ang pondo sa isang mabilis na pagpapatupad na tumagal ng humigit-kumulang 12 minuto, idinagdag ng team. Ang mga pondo ay kalaunan ay na-bridge sa Ethereum, kung saan nanatili itong halos hindi aktibo.
Samantala, ang pag-atake sa KelpDAO ay sumunod sa ibang teknikal na paraan, sinasamantala ang isang single-verifier na disenyo sa isang LayerZero bridge sa pamamagitan ng pagkukompromiso sa imprastraktura ng RPC at pagmamanipula sa cross-chain validation logic, ayon sa ulat.
Sinabi ng TRM na inubos ng mga umaatake ang humigit-kumulang 116,500 rsETH matapos pilitin ang pag-verify na lumipat sa mga nakompromisong node, na may kasunod na paglalaba ng pera na dumaan sa cross-chain infrastructure, kabilang ang THORChain, kasunod ng bahagyang pag-freeze ng asset sa Arbitrum.
Sinabi ng TRM team na ang bahagi ng Hilagang Korea sa pandaigdigang pagkalugi sa crypto hack ay "bumilis" sa halip na nanatili sa parehong lebel, tumaas mula sa mababa sa 10% noong 2020 at 2021 patungo sa 22% noong 2022, 37% noong 2023, 39% noong 2024, at 64% noong 2025. Ang kabuuang naiugnay na pagnanakaw ay lumampas na sa $6 bilyon mula noong 2017.
Itinuro ng firm ang $1.46 bilyong paglabag sa Bybit noong 2025 bilang isang pangunahing punto ng pagbabago sa kamakailang profile ng aktibidad ng Hilagang Korea. Mula noon, sinabi ng TRM na nanatiling pare-pareho ang operasyonal na daloy, kung saan inuna ng mga piling grupo ang mas kaunti ngunit mas mataas na epekto ng pag-atake na nagtatarget sa mga bridge, multisig governance system, at cross-chain infrastructure.
Sinabi ng TRM na ang mga insidente sa Drift at KelpDAO ay nagpapakita ng magkakaibang paraan ng paglalaba ng pera. Isang grupo na nauugnay sa Drift ang nag-iwan ng mga asset na halos hindi aktibo pagkatapos ng paunang pag-bridge sa Ethereum at malamang na "pananatilihin ang kinita sa loob ng buwan o taon, pagkatapos ay isasagawa ang isang nakabalangkas at multi-phase na pag-cashout."
Samantala, ang mga umaatake sa KelpDAO ay mas mabilis na naglipat ng pondo sa pamamagitan ng cross-chain swaps sa Bitcoin via THORChain, kung saan ang patuloy na paglalaba ng pera ay pangunahing pinangangasiwaan ng mga intermediaryong Tsino, hindi ng mga taga-Hilagang Korea mismo, ayon sa TRM.
Kasama sa mga prayoridad sa pagsubaybay sa pagsunod na binalangkas ng TRM ang mga daloy na konektado sa THORChain mula sa nakompromisong bridge environments, multi-hop transaction tracing sa buong imprastraktura ng bridge, at pagsusuri ng mga deposit path na may kaugnayan sa Solana governance na may kinalaman sa durable nonce transactions.
Binigyang-diin din ng firm ang partisipasyon ng Beacon Network sa mga exchange at DeFi protocol bilang isang mekanismo para sa pagpapabilis ng cross-platform alerting kapag natukoy na ang mga adres na konektado sa Hilagang Korea.
Disclaimer: Ang The Block ay isang malayang media outlet na nagbibigay ng balita, pananaliksik, at datos. Noong Nobyembre 2023, ang Foresight Ventures ay isang mayoryang mamumuhunan ng The Block. Ang Foresight Ventures ay namumuhunan sa iba pang kumpanya sa espasyo ng crypto. Ang crypto exchange na Bitget ay isang anchor LP para sa Foresight Ventures. Ang The Block ay patuloy na gumagana nang independyente upang maghatid ng obhetibo, may epekto, at napapanahong impormasyon tungkol sa industriya ng crypto. Narito ang aming kasalukuyang financial disclosures.
© 2026 The Block. Lahat ng Karapatan ay Nakalaan. Ang artikulong ito ay ibinigay para sa layunin ng impormasyon lamang. Hindi ito inaalok o nilalayon na gamitin bilang legal, buwis, pamumuhunan, pinansyal, o iba pang payo.
