Aktor-aktor Korea Utara mengekstraksi sekitar $577 juta selama empat bulan pertama tahun 2026, jumlah yang mewakili 76% dari seluruh kerugian peretasan mata uang kripto global selama periode tersebut, menurut perusahaan intelijen blockchain TRM Labs.

Kerugian tersebut berasal dari dua insiden pada bulan April, termasuk eksploitasi KelpDAO senilai $292 juta dan serangan Drift Protocol senilai $285 juta, yang menurut TRM dalam laporannya menyumbang 3% dari total insiden peretasan pada tahun 2026 hingga April.

Menurut laporan tersebut, serangan Drift berasal dari subkelompok Korea Utara yang terpisah dari TraderTraitor, operasi afiliasi Lazarus yang terdokumentasi dengan baik, meskipun atribusi spesifik masih dalam penyelidikan. Pelanggaran KelpDAO adalah pekerjaan TraderTraitor, katanya.

Peretasan Drift melibatkan pertemuan tatap muka selama berbulan-bulan antara proksi Korea Utara dan karyawan Drift, kata tim TRM, mencatat bahwa persiapan serangan dimulai seawal 11 Maret sebelum penyerang membuat akun nonce yang tahan lama di Solana dan mendorong penandatangan multisig Dewan Keamanan Drift untuk mengotorisasi transaksi di muka.

Penyerang kemudian, pada 1 April, beberapa hari setelah Drift memigrasikan Dewan Keamanannya ke konfigurasi ambang batas 2/5 yang baru tanpa timelock, menyebarkan 31 penarikan yang telah ditandatangani sebelumnya untuk menguras dana dalam fase eksekusi cepat yang berlangsung sekitar 12 menit, tambah tim. Dana tersebut kemudian dijembatani ke Ethereum, di mana sejak itu sebagian besar tetap tidak aktif.

Sementara itu, serangan KelpDAO mengikuti jalur teknis yang berbeda, mengeksploitasi desain verifier tunggal di jembatan LayerZero dengan mengkompromikan infrastruktur RPC dan memanipulasi logika validasi lintas-rantai, menurut laporan tersebut.

TRM mengatakan penyerang menguras sekitar 116.500 rsETH setelah memaksa verifikasi untuk gagal ke node yang disusupi, dengan pencucian selanjutnya disalurkan melalui infrastruktur lintas-rantai, termasuk THORChain, menyusul pembekuan aset sebagian di Arbitrum.

Pangsa Korea Utara dalam Pencurian Kripto Semakin Cepat

Tim TRM mengatakan pangsa Korea Utara dalam kerugian peretasan kripto global telah “semakin cepat” alih-alih mendatar, meningkat dari di bawah 10% pada tahun 2020 dan 2021 menjadi 22% pada tahun 2022, 37% pada tahun 2023, 39% pada tahun 2024, dan 64% pada tahun 2025. Total pencurian yang diatribusikan kini melebihi $6 miliar sejak tahun 2017.

Perusahaan tersebut menunjuk pada pelanggaran Bybit senilai $1,46 miliar pada tahun 2025 sebagai titik balik utama dalam profil aktivitas Korea Utara baru-baru ini. Sejak saat itu, TRM mengatakan laju operasional tetap konsisten, dengan kelompok-kelompok elit memprioritaskan serangan yang lebih sedikit tetapi berdampak lebih tinggi yang menargetkan jembatan, sistem tata kelola multisig, dan infrastruktur lintas-rantai.

TRM mengatakan insiden Drift dan KelpDAO menyoroti pendekatan pencucian yang berbeda. Satu kelompok yang terkait dengan Drift telah membiarkan aset sebagian besar tidak aktif setelah penjembatanan awal ke Ethereum dan kemungkinan akan “menahan hasil selama berbulan-bulan atau bertahun-tahun, kemudian melaksanakan penarikan bertahap yang terstruktur.”

Sementara itu, penyerang KelpDAO memindahkan dana lebih cepat melalui swap lintas-rantai ke Bitcoin via THORChain, dengan fase pencucian yang sedang berlangsung sebagian besar ditangani oleh perantara Tiongkok, bukan oleh orang Korea Utara sendiri, menurut TRM.

Prioritas pemantauan kepatuhan yang diuraikan oleh TRM mencakup aliran terkait THORChain dari lingkungan jembatan yang disusupi, pelacakan transaksi multi-hop di seluruh infrastruktur jembatan, dan penyaringan jalur deposit terkait tata kelola Solana yang melibatkan transaksi nonce yang tahan lama.

Perusahaan tersebut juga menyoroti partisipasi Beacon Network di seluruh bursa dan protokol DeFi sebagai mekanisme untuk mempercepat peringatan lintas-platform setelah alamat yang terkait dengan Korea Utara teridentifikasi.