根據區塊鏈情報公司 TRM Labs 的一份新報告指出，北韓駭客今年迄今已竊取了近四分之三的網路犯罪分子所盜取的加密貨幣總額—這並非透過無休止的攻擊行動，而是透過4月份針對去中心化金融平台執行的兩起精準劫案。

這兩起事件—4月1日針對 Drift Protocol 的2.85億美元入侵，以及4月18日針對 Kelp DAO 的2.92億美元漏洞利用—總計佔了截至4月為止所有加密貨幣駭客損失的76%，儘管它們僅佔記錄事件總數的3%。

總體而言，TRM Labs 估計，自2017年以來，與北韓相關的駭客已從加密協議和專案中竊取了超過60億美元，其中包括業界有史以來最嚴重的幾起劫案。

這些數字反映出與北韓國家相關的行動者竊取加密貨幣的集中度正在加速。平壤在加密貨幣駭客總損失中的佔比已從2020年和2021年的不到10%，增長到2022年的22%、2023年的37%、2024年的39%、2025年的64%。2026年截至4月的76%是歷史上最高的持續佔比。

Drift Protocol 攻擊事件的耐心程度令人驚訝。鏈上準備工作始於3月11日，該行動涉及北韓代理人與 Drift 員工之間長達數月的面對面會談—TRM 分析師稱這種策略在北韓漫長的加密貨幣駭客行動中可能是前所未有的。

攻擊者利用了 Solana 的一個名為「持久隨機數 (durable nonce)」的功能，該功能允許預先簽署的交易被保留並在稍後部署。4月1日，31筆提款在大約12分鐘內執行，盜走了包括 USDC 和 JLP 在內的真實資產。這些被盜資金很快被轉移到以太坊，並從那時起一直處於休眠狀態。

Kelp DAO 攻擊則採取了不同的途徑。攻擊者破壞了兩個內部 RPC 節點，然後對外部節點發動了阻斷服務攻擊，迫使該橋樑的單一驗證者依賴受污染的數據源。這些節點錯誤地報告底層資產已在源鏈上銷毀，而實際上並未發生此類操作，導致約116,500枚 rsETH（價值約2.92億美元）從以太坊橋樑合約中被盜走。

Kelp DAO 盜竊案發生後，Arbitrum 安全委員會行使緊急權力，凍結了網路中約7500萬美元的被盜資金—這是一次罕見的干預，並促使了迅速的洗錢回應。約1.75億美元的 ETH 隨後被兌換成比特幣，大部分是透過 THORChain 進行的，這是一個無需 KYC（了解你的客戶）要求的跨鏈流動性協議。

THORChain 處理了2025年 Bybit 漏洞（業界有史以來最嚴重的盜竊案，超過14億美元的加密貨幣被盜）和2026年 Kelp DAO 駭客事件的絕大部分贓款，將數億美元被盜的 ETH 轉換為比特幣，且沒有任何營運商願意凍結或拒絕轉帳。

TRM 分析師指出，該組織似乎正在磨練其工具：分析師們已開始推測北韓操作者正在將 AI 工具整合到其偵察和社交工程工作流程中，這一發展與 Drift 等攻擊越來越精確的情況一致，這些攻擊需要數週對複雜區塊鏈機制進行有針對性的操縱。