Actori nord-coreeni au extras aproximativ 577 de milioane de dolari în primele patru luni ale anului 2026, o sumă reprezentând 76% din totalul pierderilor globale cauzate de hack-uri de criptomonede în această perioadă, conform firmei de inteligență blockchain TRM Labs.

Pierderile provin din două incidente din aprilie, inclusiv exploatarea KelpDAO de 292 de milioane de dolari și atacul Drift Protocol de 285 de milioane de dolari, care, conform TRM, au reprezentat 3% din totalul incidentelor de hack în 2026 până în aprilie. 

Conform raportului, atacul Drift a provenit de la un subgrup nord-coreean separat de TraderTraitor, operațiunea bine documentată afiliată Lazarus, deși atribuirea specifică rămâne sub investigație. Breșa KelpDAO a fost opera lui TraderTraitor, se arată. 

Atacul Drift a implicat luni de întâlniri față în față între intermediari nord-coreeni și angajați Drift, a declarat echipa TRM, menționând că pregătirea atacului a început încă din 11 martie, înainte ca atacatorul să creeze conturi nonce durabile pe Solana și să determine semnatarii multisig ai Consiliului de Securitate Drift să pre-autorizeze tranzacțiile. 

Atacatorul, apoi, pe 1 aprilie, la câteva zile după ce Drift își migră Consiliul de Securitate la o nouă configurație cu prag de 2/5 și fără blocare în timp (timelock), a desfășurat 31 de retrageri pre-semnate pentru a drena fondurile într-o fază de execuție rapidă, durând aproximativ 12 minute, a adăugat echipa. Fondurile au fost ulterior transferate (bridged) către Ethereum, unde au rămas în mare parte inactive.

Între timp, atacul KelpDAO a urmat o cale tehnică diferită, exploatând un design cu un singur verificator într-un bridge LayerZero prin compromiterea infrastructurii RPC și manipularea logicii de validare cross-chain, conform raportului. 

TRM a declarat că atacatorii au drenat aproximativ 116.500 rsETH după ce au forțat eșecul verificării prin redirecționarea către noduri compromise, cu spălarea ulterioară a banilor dirijată prin infrastructura cross-chain, inclusiv THORChain, în urma înghețării parțiale a activelor pe Arbitrum.

Ponderea Coreei de Nord în furturile de criptomonede se accelerează

Echipa TRM a declarat că ponderea Coreei de Nord în pierderile globale cauzate de hack-uri de criptomonede a „accelerat” în loc să stagneze, crescând de la sub 10% în 2020 și 2021 la 22% în 2022, 37% în 2023, 39% în 2024 și 64% în 2025. Furtul cumulat atribuit depășește acum 6 miliarde de dolari începând cu 2017.

Firma a indicat breșa Bybit de 1,46 miliarde de dolari din 2025 ca un punct de inflexiune cheie în profilul recent de activitate al Coreei de Nord. De atunci, TRM a declarat că ritmul operațional a rămas constant, grupurile de elită prioritizând atacuri mai puține, dar cu impact mai mare, vizând bridge-uri, sisteme de guvernanță multisig și infrastructuri cross-chain.

TRM a declarat că incidentele Drift și KelpDAO evidențiază abordări diferite de spălare a banilor. Un grup asociat cu Drift a lăsat activele în mare parte inactive după transferul inițial (bridging) către Ethereum și va „ține probabil fondurile luni sau ani, apoi va executa o retragere structurată, în mai multe faze”.

Atacatorii KelpDAO, între timp, au mutat fondurile mai rapid prin swap-uri cross-chain în Bitcoin via THORChain, faza de spălare a banilor în curs de desfășurare fiind gestionată în mare parte de intermediari chinezi, nu de nord-coreeni înșiși, conform TRM. 

Prioritățile de monitorizare a conformității, așa cum au fost ele schițate de TRM, includ fluxurile legate de THORChain din medii bridge compromise, urmărirea tranzacțiilor multi-hop în infrastructura bridge și verificarea căilor de depunere legate de guvernanța Solana care implică tranzacții nonce durabile. 

Firma a subliniat, de asemenea, participarea rețelei Beacon în cadrul burselor și protocoalelor DeFi ca un mecanism de accelerare a alertării inter-platformă odată ce sunt identificate adrese legate de Coreea de Nord.