Noord-Koreaanse actoren hebben in de eerste vier maanden van 2026 ongeveer 577 miljoen dollar buitgemaakt, een bedrag dat volgens blockchain-inlichtingenbureau TRM Labs 76% van alle wereldwijde verliezen door cryptocurrency-hacks in die periode vertegenwoordigt.
De verliezen zijn het gevolg van twee incidenten in april, waaronder de KelpDAO-exploitatie van 292 miljoen dollar en de Drift Protocol-aanval van 285 miljoen dollar, die volgens TRM in een rapport 3% van het totale aantal hackincidenten in 2026 tot en met april vertegenwoordigen.
Volgens het rapport was de Drift-aanval afkomstig van een Noord-Koreaanse subgroep die losstaat van TraderTraitor, de goed gedocumenteerde Lazarus-gelieerde operatie, hoewel de specifieke toeschrijving nog wordt onderzocht. De KelpDAO-inbreuk was het werk van TraderTraitor, aldus TRM.
De Drift-hack omvatte maandenlange persoonlijke ontmoetingen tussen Noord-Koreaanse proxy's en Drift-medewerkers, zei het TRM-team, en merkte op dat de voorbereiding van de aanval al op 11 maart begon voordat de aanvaller 'durable nonce accounts' op Solana creëerde en de 'multisig signers' van de Security Council van Drift ertoe aanzette transacties vooraf te autoriseren.
De aanvaller heeft vervolgens op 1 april, dagen nadat Drift zijn Security Council had gemigreerd naar een nieuwe 2/5 drempelconfiguratie zonder tijdslot, 31 vooraf ondertekende opnames uitgevoerd om fondsen af te romen in een snelle uitvoeringsfase die ongeveer 12 minuten duurde, voegde het team toe. De fondsen werden later overbrugd naar Ethereum, waar ze sindsdien grotendeels inactief zijn gebleven.
Ondertussen volgde de KelpDAO-aanval een andere technische route, waarbij een 'single-verifier' ontwerp in een LayerZero-brug werd misbruikt door RPC-infrastructuur te compromitteren en 'cross-chain validatielogica' te manipuleren, volgens het rapport.
TRM zei dat aanvallers ongeveer 116.500 rsETH hebben leeggeroofd nadat ze verificatie hadden gedwongen om over te schakelen naar gecompromitteerde knooppunten, waarbij het daaropvolgende witwassen werd omgeleid via 'cross-chain infrastructuur', inclusief THORChain, na gedeeltelijke bevriezingen van activa op Arbitrum.
Het TRM-team zei dat het aandeel van Noord-Korea in wereldwijde verliezen door cryptohacks is "versneld" in plaats van gestabiliseerd, stijgend van minder dan 10% in 2020 en 2021 naar 22% in 2022, 37% in 2023, 39% in 2024 en 64% in 2025. De cumulatieve toegeschreven diefstal bedraagt nu meer dan 6 miljard dollar sinds 2017.
Het bedrijf wees op de Bybit-inbreuk van 1,46 miljard dollar in 2025 als een belangrijk keerpunt in het recente activiteitsprofiel van Noord-Korea. Sindsdien is de operationele frequentie volgens TRM consistent gebleven, waarbij elitegroepen prioriteit geven aan minder, maar impactvollere aanvallen gericht op bruggen, 'multisig governance systems' en 'cross-chain infrastructuur'.
TRM zei dat de Drift- en KelpDAO-incidenten uiteenlopende witwasbenaderingen belichten. Eén groep, geassocieerd met Drift, heeft activa grotendeels inactief gelaten na de initiële overbrugging naar Ethereum en zal waarschijnlijk "opbrengsten maanden of jaren vasthouden, om vervolgens een gestructureerde, meerfasige uitbetaling uit te voeren."
De KelpDAO-aanvallers daarentegen verplaatsten de fondsen sneller via 'cross-chain swaps' naar Bitcoin via THORChain, waarbij de lopende witwasfase grotendeels werd afgehandeld door Chinese tussenpersonen, en niet door de Noord-Koreanen zelf, volgens TRM.
Prioriteiten voor nalevingsmonitoring die door TRM zijn geschetst, omvatten THORChain-gekoppelde stromen uit gecompromitteerde bridge-omgevingen, 'multi-hop transactie-tracing' over bridge-infrastructuur, en het screenen van Solana-governance-gerelateerde stortingspaden met 'durable nonce transacties'.
Het bedrijf benadrukte ook de deelname aan het Beacon Network via exchanges en DeFi-protocollen als een mechanisme om 'cross-platform alerting' te versnellen zodra aan Noord-Korea gekoppelde adressen zijn geïdentificeerd.
Disclaimer: The Block is een onafhankelijke media-uitlaatklep die nieuws, onderzoek en data levert. Sinds november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Cryptobeurs Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatie verstrekt. Het is niet bedoeld of aangeboden om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
