Noord-Koreaanse hackers hebben tot nu toe dit jaar bijna driekwart van alle door cybercriminelen gestolen cryptocurrency buitgemaakt – niet via een meedogenloze campagne van aanvallen, maar via twee nauwkeurig uitgevoerde overvallen gericht op gedecentraliseerde financiële platforms in april, volgens een nieuw rapport van blockchain-inlichtingenbedrijf TRM Labs.

De twee incidenten – een inbreuk van $285 miljoen op Drift Protocol op 1 april en een exploit van $292 miljoen van Kelp DAO op 18 april – zijn samen goed voor 76% van alle cryptohackverliezen die tot april zijn bijgehouden, ondanks dat ze slechts 3% vertegenwoordigen van het totale aantal geregistreerde incidenten.

In totaal schat TRM Labs dat Noord-Koreaanse hackers sinds 2017 meer dan $6 miljard hebben gestolen van cryptoprotocollen en -projecten, waaronder enkele van de ergste overvallen in de geschiedenis van de sector.

De cijfers weerspiegelen een versnellende concentratie van cryptocurrency-diefstal door staatsgelinkte Noord-Koreaanse operatieven. Het aandeel van Pyongyang in de totale cryptohackverliezen is gegroeid van minder dan 10% in 2020 en 2021 naar 22% in 2022, 37% in 2023, 39% in 2024 en 64% in 2025. Het cijfer van 76% voor 2026 tot april is het hoogste aanhoudende aandeel ooit geregistreerd.

De aanval op Drift Protocol was opmerkelijk vanwege zijn geduld. On-chain voorbereidingen begonnen op 11 maart, en de campagne omvatte persoonlijke ontmoetingen tussen Noord-Koreaanse tussenpersonen en Drift-medewerkers gedurende een periode van maanden – een tactiek die TRM-analisten als potentieel ongekend beschreven in Noord-Korea's langdurige cryptohackcampagne.

De aanvallers exploiteerden een Solana-functie genaamd een 'durable nonce', die het mogelijk maakt om vooraf ondertekende transacties vast te houden en op een later tijdstip in te zetten. Op 1 april werden 31 opnames in ongeveer 12 minuten uitgevoerd, waarbij echte activa, waaronder USDC en JLP, werden leeggehaald. De gestolen fondsen werden snel naar Ethereum verplaatst en zijn sindsdien inactief.

De aanval op Kelp DAO nam een andere route. De aanvallers compromitteerden twee interne RPC-nodes en lanceerden vervolgens een denial-of-service-aanval tegen externe nodes, waardoor de enige verificateur van de bridge gedwongen werd te vertrouwen op de besmette gegevensbronnen. Die nodes meldden ten onrechte dat het onderliggende activum op de bronketen was 'gebrand' terwijl een dergelijke actie niet had plaatsgevonden, en ongeveer 116.500 rsETH – ter waarde van ongeveer $292 miljoen – werd van het Ethereum bridge-contract afgetapt.

Na de diefstal van Kelp DAO oefende de Arbitrum Security Council noodbevoegdheden uit om ongeveer $75 miljoen van de gestolen fondsen die op het netwerk waren achtergebleven, te bevriezen – een zeldzame interventie die een snelle witwasrespons uitlokte. Ongeveer $175 miljoen aan ETH werd vervolgens omgewisseld naar Bitcoin, voornamelijk via THORChain, een cross-chain liquiditeitsprotocol zonder know-your-customer-vereiste.

THORChain verwerkte het overgrote deel van de opbrengsten van zowel de Bybit-inbreuk in 2025 – de ergste diefstal in de geschiedenis van de sector, met meer dan $1,4 miljard aan gestolen crypto – als de Kelp DAO-hack in 2026, waarbij honderden miljoenen aan gestolen ETH naar Bitcoin werden omgezet zonder dat een operator bereid was overboekingen te bevriezen of te weigeren.

TRM-analisten merkten op dat de groep zijn instrumenten lijkt aan te scherpen: analisten zijn begonnen te speculeren dat Noord-Koreaanse operators AI-tools integreren in hun reconnaissance- en social engineering-workflows, een ontwikkeling die overeenkomt met de toenemende precisie van aanvallen zoals Drift, die wekenlange gerichte manipulatie van complexe blockchain-mechanismen vereisten.