Hackerii nord-coreeni au furat aproape trei sferturi din toate criptomonedele sustrase de infractorii cibernetici până acum anul acesta—nu printr-o campanie neîncetată de atacuri, ci prin două jafuri executate cu precizie, care au vizat platforme de finanțare descentralizată în aprilie, conform unui nou raport de la firma de inteligență blockchain TRM Labs.

Cele două incidente—o breșă de 285 milioane de dolari a Drift Protocol pe 1 aprilie și un exploit de 292 milioane de dolari al Kelp DAO pe 18 aprilie—reprezintă împreună 76% din toate pierderile de criptomonede prin hackuri înregistrate până în aprilie, în ciuda faptului că reprezintă doar 3% din numărul total de incidente înregistrate.

În total, TRM Labs estimează că hackerii legați de Coreea de Nord au sustras peste 6 miliarde de dolari din protocoale și proiecte cripto începând cu 2017, inclusiv unele dintre cele mai grave jafuri din industrie.

Cifrele reflectă o concentrare accelerată a furturilor de criptomonede de către operativi nord-coreeni legați de stat. Ponderea Pyongyang-ului în pierderile totale din hackuri cripto a crescut de la sub 10% în 2020 și 2021 la 22% în 2022, 37% în 2023, 39% în 2024 și 64% în 2025. Cifra de 76% în 2026, până în aprilie, este cea mai mare pondere susținută înregistrată vreodată.

Atacul asupra Drift Protocol a fost remarcabil prin răbdarea sa. Pregătirea on-chain a început pe 11 martie, iar campania a implicat întâlniri în persoană între intermediari nord-coreeni și angajați Drift pe parcursul mai multor luni—o tactică pe care analiștii TRM au descris-o ca fiind potențial fără precedent în lunga campanie de hacking cripto a Coreei de Nord.

Atacatorii au exploatat o caracteristică Solana numită „durable nonce”, care permite tranzacțiilor pre-semnate să fie reținute și implementate ulterior. Pe 1 aprilie, 31 de retrageri au fost executate în aproximativ 12 minute, golind active reale, inclusiv USDC și JLP. Fondurile furate au fost mutate rapid pe Ethereum și au rămas inactive de atunci.

Atacul asupra Kelp DAO a urmat o altă cale. Atacatorii au compromis două noduri RPC interne și apoi au lansat un atac de tip „denial-of-service” împotriva nodurilor externe, forțând verificatorul unic al bridge-ului să se bazeze pe sursele de date compromise. Aceste noduri au raportat în mod fals că activul subiacent fusese ars pe lanțul sursă, deși o astfel de acțiune nu avusese loc, iar aproximativ 116.500 rsETH—în valoare de aproximativ 292 milioane de dolari—au fost drenate din contractul bridge-ului Ethereum.

După furtul Kelp DAO, Consiliul de Securitate Arbitrum a exercitat puteri de urgență pentru a îngheța aproximativ 75 de milioane de dolari din fondurile furate care rămăseseră în rețea—o intervenție rară care a declanșat un răspuns rapid de spălare a banilor. Aproximativ 175 de milioane de dolari în ETH au fost apoi schimbați în Bitcoin, în mare parte prin THORChain, un protocol de lichiditate cross-chain fără cerințe KYC (know-your-customer).

THORChain a procesat marea majoritate a veniturilor atât din breșa Bybit din 2025—cel mai grav furt din istoria industriei, cu peste 1,4 miliarde de dolari în criptomonede furate—cât și din hackul Kelp DAO din 2026, convertind sute de milioane de ETH furate în Bitcoin, fără ca niciun operator să fie dispus să înghețe sau să respingă transferurile.

Analiștii TRM au remarcat că grupul pare să-și perfecționeze instrumentele: Analiștii au început să speculeze că operatorii nord-coreeni încorporează instrumente AI în fluxurile lor de lucru de recunoaștere și inginerie socială, o dezvoltare consistentă cu precizia crescândă a atacurilor precum cel asupra Drift, care a necesitat săptămâni de manipulare țintită a unor mecanisme blockchain complexe.