Peretas Korea Utara telah mencuri hampir tiga perempat dari seluruh mata uang kripto yang diambil oleh penjahat siber sepanjang tahun ini—bukan melalui kampanye serangan tanpa henti, melainkan melalui dua perampokan yang dieksekusi dengan tepat menargetkan platform keuangan terdesentralisasi pada bulan April, menurut laporan baru dari perusahaan intelijen blockchain TRM Labs.

Kedua insiden tersebut—pelanggaran senilai $285 juta pada Drift Protocol pada 1 April dan eksploitasi senilai $292 juta pada Kelp DAO pada 18 April—secara bersama-sama menyumbang 76% dari seluruh kerugian peretasan kripto yang terlacak hingga April, meskipun hanya mewakili 3% dari total jumlah insiden yang tercatat.

Secara keseluruhan, TRM Labs memperkirakan bahwa peretas yang terkait dengan Korea Utara telah mencuri lebih dari $6 miliar dari protokol dan proyek kripto sejak 2017, termasuk beberapa perampokan terburuk dalam sejarah industri ini.

Angka-angka ini mencerminkan percepatan konsentrasi pencurian mata uang kripto oleh agen Korea Utara yang terkait dengan negara. Pangsa Pyongyang dari total kerugian peretasan kripto telah meningkat dari di bawah 10% pada tahun 2020 dan 2021 menjadi 22% pada tahun 2022, 37% pada tahun 2023, 39% pada tahun 2024, dan 64% pada tahun 2025. Angka 2026 sebesar 76% hingga April adalah pangsa berkelanjutan tertinggi yang pernah tercatat.

Serangan Drift Protocol sangat luar biasa karena kesabarannya. Penempatan on-chain dimulai 11 Maret, dan kampanye tersebut melibatkan pertemuan langsung antara proksi Korea Utara dan karyawan Drift selama beberapa bulan—sebuah taktik yang digambarkan oleh analis TRM sebagai hal yang berpotensi belum pernah terjadi sebelumnya dalam kampanye peretasan kripto panjang Korea Utara.

Para penyerang mengeksploitasi fitur Solana yang disebut durable nonce, yang memungkinkan transaksi yang telah ditandatangani sebelumnya untuk ditahan dan diterapkan di kemudian waktu. Pada 1 April, 31 penarikan dieksekusi dalam waktu sekitar 12 menit, menguras aset riil termasuk USDC dan JLP. Dana yang dicuri dengan cepat dipindahkan ke Ethereum dan tetap tidak aktif sejak saat itu.

Serangan Kelp DAO mengambil rute yang berbeda. Para penyerang mengkompromikan dua node RPC internal dan kemudian meluncurkan serangan denial-of-service terhadap node eksternal, memaksa satu-satunya verifikator jembatan untuk mengandalkan sumber data yang telah diracuni. Node-node tersebut secara keliru melaporkan bahwa aset dasar telah dibakar pada rantai sumber padahal tidak ada tindakan seperti itu yang terjadi, dan sekitar 116.500 rsETH—senilai sekitar $292 juta—dikuras dari kontrak jembatan Ethereum.

Setelah pencurian Kelp DAO, Dewan Keamanan Arbitrum menggunakan kekuatan darurat untuk membekukan sekitar $75 juta dana curian yang tersisa di jaringan—sebuah intervensi langka yang memicu respons pencucian yang cepat. Sekitar $175 juta ETH kemudian ditukar ke Bitcoin, sebagian besar melalui THORChain, protokol likuiditas lintas rantai tanpa persyaratan kenali-pelanggan (KYC).

THORChain memproses sebagian besar hasil dari pelanggaran Bybit pada tahun 2025—pencurian terburuk di industri, dengan lebih dari $1,4 miliar kripto dicuri—dan peretasan Kelp DAO pada tahun 2026, mengubah ratusan juta ETH curian menjadi Bitcoin tanpa ada operator yang bersedia membekukan atau menolak transfer.

Analis TRM mencatat bahwa kelompok tersebut tampaknya sedang mengasah kemampuannya: Analis mulai berspekulasi bahwa operator Korea Utara mengintegrasikan alat AI ke dalam alur kerja pengintaian dan rekayasa sosial mereka, sebuah perkembangan yang konsisten dengan peningkatan presisi serangan seperti Drift, yang membutuhkan berminggu-minggu manipulasi yang ditargetkan pada mekanisme blockchain yang kompleks.