Ninakaw ng mga hacker ng North Korea ang halos tatlong-kapat ng lahat ng cryptocurrency na nakuha ng mga cybercriminal ngayong taon—hindi sa pamamagitan ng walang-tigil na kampanya ng pag-atake, kundi sa pamamagitan ng dalawang eksaktong isinagawang pagnanakaw na tinatarget ang mga decentralized finance platform noong Abril, ayon sa isang bagong ulat mula sa blockchain intelligence firm na TRM Labs.
Ang dalawang insidente—isang $285 milyong paglabag sa Drift Protocol noong Abril 1 at isang $292 milyong exploit ng Kelp DAO noong Abril 18—ay bumubuo ng 76% ng lahat ng pagkalugi sa crypto hack na sinusubaybayan hanggang Abril, sa kabila ng pagkatawan lamang ng 3% ng kabuuang bilang ng mga insidenteng naitala.
Sa kabuuan, tinatantya ng TRM Labs na ang mga hacker na konektado sa North Korea ay nakakuha ng mahigit $6 bilyon mula sa mga crypto protocol at proyekto mula pa noong 2017, kasama na ang ilan sa pinakamasamang pagnanakaw sa industriya.
Ang mga numero ay sumasalamin sa mabilis na pagtaas ng konsentrasyon ng pagnanakaw ng cryptocurrency ng mga operatives ng North Korea na konektado sa estado. Ang bahagi ng Pyongyang sa kabuuang pagkalugi sa crypto hack ay lumago mula sa wala pang 10% noong 2020 at 2021 tungo sa 22% noong 2022, 37% noong 2023, 39% noong 2024, at 64% noong 2025. Ang 2026 figure na 76% hanggang Abril ay ang pinakamataas na naitalang bahagi.
Ang pag-atake sa Drift Protocol ay kapansin-pansin sa pasensya nito. Nagsimula ang on-chain staging noong Marso 11, at ang kampanya ay kinasasangkutan ng mga personal na pagpupulong sa pagitan ng mga proxy ng North Korea at mga empleyado ng Drift sa loob ng ilang buwan—isang taktika na inilarawan ng mga analyst ng TRM bilang potensyal na hindi pa nagagawa sa mahabang kampanya ng crypto hacking ng North Korea.
Sinasamantala ng mga attacker ang isang feature ng Solana na tinatawag na durable nonce, na nagpapahintulot sa mga pre-signed transaction na hawakan at i-deploy sa ibang pagkakataon. Noong Abril 1, 31 withdrawal ang isinagawa sa humigit-kumulang 12 minuto, na nagdudulot ng pagkaubos ng mga tunay na asset kabilang ang USDC at JLP. Ang mga ninakaw na pondo ay mabilis na inilipat sa Ethereum at nanatiling hindi nagagalaw mula noon.
Ang pag-atake sa Kelp DAO ay ibang ruta ang tinahak. Kinompromiso ng mga attacker ang dalawang panloob na RPC node at pagkatapos ay inilunsad ang isang denial-of-service attack laban sa mga panlabas na node, na pinilit ang nag-iisang verifier ng bridge na umasa sa mga nalason na data source. Ang mga node na iyon ay maling nag-ulat na ang pinagbabatayan na asset ay sinunog sa source chain gayong walang ganoong aksyon na nangyari, at humigit-kumulang 116,500 rsETH—na nagkakahalaga ng humigit-kumulang $292 milyon—ay naubos mula sa kontrata ng Ethereum bridge.
Matapos ang pagnanakaw sa Kelp DAO, ginamit ng Arbitrum Security Council ang mga emergency power upang i-freeze ang humigit-kumulang $75 milyon ng ninakaw na pondo na naiwan sa network—isang bihirang interbensyon na nagtulak ng mabilis na tugon sa paglalaba ng pera. Humigit-kumulang $175 milyon sa ETH ang pagkatapos ay ipinalit sa Bitcoin, karamihan sa pamamagitan ng THORChain, isang cross-chain liquidity protocol na walang kinakailangan sa know-your-customer.
Pinroseso ng THORChain ang karamihan ng mga nalikom mula sa parehong paglabag sa Bybit noong 2025—ang pinakamasamang pagnanakaw sa industriya, na may mahigit $1.4 bilyon na crypto ang ninakaw—at ang hack sa Kelp DAO noong 2026, na nagko-convert ng daan-daang milyong ninakaw na ETH sa Bitcoin na walang operator na handang i-freeze o tanggihan ang mga paglilipat.
Napansin ng mga analyst ng TRM na ang grupo ay tila pinapatalas ang mga tool nito: Nagsimulang maghinala ang mga analyst na ang mga operator ng North Korea ay isinasama ang mga tool ng AI sa kanilang reconnaissance at social engineering workflows, isang pag-unlad na naaayon sa tumataas na katumpakan ng mga pag-atake tulad ng Drift, na nangangailangan ng mga linggo ng target na manipulasyon ng mga kumplikadong mekanismo ng blockchain.
