Podmioty północnokoreańskie wyłudziły około 577 milionów dolarów w ciągu pierwszych czterech miesięcy 2026 roku, co stanowi 76% wszystkich globalnych strat z tytułu włamań do kryptowalut w tym okresie, według firmy analitycznej blockchain TRM Labs.

Straty wynikają z dwóch incydentów w kwietniu, w tym exploit'u KelpDAO o wartości 292 milionów dolarów i ataku na Drift Protocol o wartości 285 milionów dolarów, które według TRM w raporcie stanowiły 3% wszystkich incydentów włamań w 2026 roku do kwietnia. 

Według raportu, atak na Drift pochodził od północnokoreańskiej podgrupy niezwiązanej z TraderTraitor, dobrze udokumentowaną operacją powiązaną z grupą Lazarus, chociaż konkretne przypisanie wciąż jest przedmiotem dochodzenia. Naruszenie KelpDAO było dziełem TraderTraitor, stwierdzono. 

Włamanie do Drift wiązało się z miesięcznymi spotkaniami osobistymi między północnokoreańskimi pośrednikami a pracownikami Drift, jak poinformował zespół TRM, zauważając, że przygotowanie ataku rozpoczęło się już 11 marca, zanim atakujący utworzył trwałe konta nonce na Solanie i nakłonił osoby podpisujące multisig Rady Bezpieczeństwa Drift do wstępnego autoryzowania transakcji. 

Następnie, 1 kwietnia, kilka dni po tym, jak Drift przeniosła swoją Radę Bezpieczeństwa na nową konfigurację progu 2/5 z zerowym timelockiem, atakujący wdrożył 31 wstępnie podpisanych wypłat w celu wyprowadzenia środków w fazie szybkiej egzekucji trwającej około 12 minut, dodał zespół. Środki zostały później przeniesione (za pomocą mostu) na Ethereum, gdzie od tego czasu pozostają w dużej mierze uśpione.

Tymczasem atak na KelpDAO poszedł inną ścieżką techniczną, wykorzystując konstrukcję z pojedynczym weryfikatorem w moście LayerZero poprzez skompromitowanie infrastruktury RPC i manipulowanie logiką walidacji międzyłańcuchowej, zgodnie z raportem. 

TRM podało, że atakujący wyprowadzili około 116 500 rsETH po wymuszeniu przełączenia weryfikacji na skompromitowane węzły, z następującym praniem pieniędzy kierowanym przez infrastrukturę międzyłańcuchową, w tym THORChain, po częściowych zamrożeniach aktywów na Arbitrum.

Udział Korei Północnej w kradzieżach kryptowalut przyspiesza

Zespół TRM stwierdził, że udział Korei Północnej w globalnych stratach z tytułu włamań do kryptowalut „przyspieszył”, a nie ustabilizował się, rosnąc z poniżej 10% w 2020 i 2021 roku do 22% w 2022, 37% w 2023, 39% w 2024 i 64% w 2025. Skumulowana przypisana kradzież przekracza obecnie 6 miliardów dolarów od 2017 roku.

Firma wskazała na naruszenie Bybit o wartości 1,46 miliarda dolarów w 2025 roku jako kluczowy punkt zwrotny w ostatnich działaniach Korei Północnej. Od tego czasu, TRM podało, że rytm operacyjny pozostał stały, a elitarne grupy priorytetowo traktują mniej, ale bardziej wpływowe ataki celujące w mosty, systemy zarządzania multisig i infrastrukturę międzyłańcuchową.

TRM stwierdziło, że incydenty Drift i KelpDAO uwydatniają rozbieżne podejścia do prania pieniędzy. Jedna grupa powiązana z Drift pozostawiła aktywa w dużej mierze nieaktywne po początkowym przeniesieniu na Ethereum i prawdopodobnie „będzie przechowywać środki przez miesiące lub lata, a następnie przeprowadzi ustrukturyzowaną, wielofazową wypłatę.”

Tymczasem atakujący KelpDAO przenieśli środki szybciej poprzez swapy międzyłańcuchowe na Bitcoin za pośrednictwem THORChain, przy czym obecna faza prania pieniędzy była w dużej mierze obsługiwana przez chińskich pośredników, a nie przez samych Północnych Koreańczyków, według TRM. 

Priorytety monitorowania zgodności, określone przez TRM, obejmują przepływy powiązane z THORChain ze skompromitowanych środowisk mostowych, śledzenie transakcji wielohopowych w całej infrastrukturze mostowej oraz przesiewanie ścieżek depozytowych związanych z zarządzaniem Solana, obejmujących transakcje z trwałym nonce. 

Firma podkreśliła również udział sieci Beacon w giełdach i protokołach DeFi jako mechanizm przyspieszający alerty międzyplatformowe po zidentyfikowaniu adresów powiązanych z Koreą Północną.