Coreea de Nord reprezintă 76% din pierderile cauzate de hackuri crypto în 2026, prin exploatările Drift și KelpDAO

Grupurile de hackeri nord-coreeni au fost responsabile pentru 76% din totalul pierderilor provocate de hackuri cripto în 2026 până în aprilie, conform unui raport publicat de TRM Labs. Aceleași incidente au reprezentat doar 3% din totalul atacurilor. Firma atribuie aproximativ 577 de milioane de dolari în fonduri furate la două cazuri: breșa protocolului Drift pe 1 aprilie și exploatarea KelpDAO pe 18 aprilie.

TRM a declarat că cele două incidente reprezintă doar o mică parte din totalul atacurilor din acest an, dar reprezintă marea majoritate a pierderilor. Raportul descrie un tipar în care un număr limitat de operațiuni de mare valoare generează cea mai mare parte a pagubelor, mai degrabă decât o creștere generală a frecvenței atacurilor.

Totalul furturilor cripto atribuite Coreei de Nord depășește acum 6 miliarde de dolari din 2017, conform datelor TRM.

Cota Coreei de Nord din Furturile Cripto a Crescut în Fiecare An din 2020

Datele TRM arată că ponderea Coreei de Nord din totalul pierderilor provocate de hackuri cripto a crescut de la sub 10% în 2020 și 2021 la 22% în 2022, 37% în 2023, 39% în 2024 și 64% în 2025. Cifra de 76% pentru 2026 de la începutul anului până în prezent este cea mai mare pondere susținută înregistrată de TRM.

Saltul din 2025 a fost determinat aproape în întregime de breșa Bybit din februarie a acelui an, în care 1,46 miliarde de dolari au fost furate dintr-un portofel rece printr-o interfață de semnare Safe{Wallet} compromisă. TRM a declarat că Bybit rămâne cel mai mare hack cripto individual înregistrat.

Cadența atacurilor nu s-a schimbat. TRM a declarat că echipele de hackeri nord-coreene continuă să desfășoare un număr mic de operațiuni precise vizate în fiecare an, mai degrabă decât o campanie de volum mare.

Potrivit analiștilor TRM, ceea ce s-a schimbat este sofisticarea operațiunilor. Raportul a menționat că analiștii au început să speculeze că operatorii nord-coreeni integrează instrumente AI în fluxurile de lucru de recunoaștere și inginerie socială, în concordanță cu atacul Drift, care a necesitat săptămâni de manipulare țintită a unor mecanisme blockchain complexe, în loc de simpla compromitere a cheilor private pe care Coreea de Nord s-a bazat istoric.

Hackul Protocolului Drift a Drenat 285 de Milioane de Dolari după Luni de Inginerie Socială

TRM a atribuit atacul Drift unui grup nord-coreean pe care îl evaluează ca distinct de TraderTraitor, un actor de amenințare nord-coreean cu legături de stat, cunoscut pentru vizarea firmelor cripto prin inginerie socială. Subgrupul specific este încă în curs de investigare.

Campania a început cu luni înainte de furt și a implicat întâlniri față în față între intermediari nord-coreeni și angajații Drift, pe care TRM le-a descris ca posibil fără precedent în istoria hackurilor cripto ale Coreei de Nord. Pregătirile on-chain au început pe 11 martie cu o retragere de 10 ETH din Tornado Cash.

Atacul a exploatat o funcție Solana numită nonce durabil, care extinde fereastra de valabilitate a unei tranzacții pre-semnate de la aproximativ 90 de secunde la timp nedefinit. Între 23 și 30 martie, atacatorul a indus semnatarii multisig ai Consiliului de Securitate Drift să pre-autorizeze tranzacții folosind nonce-uri durabile. Pe 27 martie, Drift și-a migrat Consiliul de Securitate la o configurație de prag 2/5 cu timelock zero, pe care atacatorul a exploatat-o ulterior.

În paralel, atacatorul a creat un token numit CarbonVote Token (CVT), l-a alimentat cu lichiditate și i-a umflat prețul prin wash trading. Oracolele Drift au tratat CVT ca garanție legitimă.

Pe 1 aprilie, tranzacțiile pre-semnate au fost difuzate. TRM a declarat că 31 de retrageri s-au executat în aproximativ 12 minute, drenând USDC, JLP (tokenul furnizorului de lichiditate Jupiter) și alte active. Cea mai mare parte a fondurilor a fost transferată prin bridge la Ethereum în câteva ore și nu a mai fost mișcată de atunci.

KelpDAO a Pierdut 292 de Milioane de Dolari printr-o Vulnerabilitate LayerZero cu Verificator Unic

Breșa KelpDAO din 18 aprilie a vizat bridge-ul LayerZero rsETH al proiectului pe Ethereum. rsETH este tokenul de restaking lichid al KelpDAO, care reprezintă ETH restacat pe mai multe protocoale.

Potrivit TRM, atacatorii au compromis două noduri RPC interne și au înlocuit software-ul nodurilor pentru a le determina să raporteze date blockchain false. Apoi au lansat un atac DDoS împotriva nodurilor RPC externe necompromise, forțând verificatorul bridge-ului să comute la cele două noduri interne otrăvite.

Nodurile otrăvite au raportat fals că rsETH fusese ars pe lanțul sursă, chiar dacă nu a avut loc niciun proces de ardere. Verificatorul unic a confirmat mesajul cross-chain fraudulos ca legitim, iar atacatorul a drenat aproximativ 116.500 rsETH în valoare de aproximativ 292 de milioane de dolari din contractul bridge.

TRM a declarat că configurația cu un singur DVN (Rețea de Verificatori Descentralizați) este vulnerabilitatea definitorie. LayerZero suportă configurarea mai multor verificatori independenți pentru validarea cross-chain, dar implementarea rsETH a KelpDAO a folosit doar DVN LayerZero Labs. Fără un al doilea verificator care să fie de acord, o singură sursă de date otrăvită a fost suficientă.

TRM a atribuit exploatarea Coreei de Nord pe baza analizei on-chain atât a pre-finanțării, cât și a spălării banilor. O parte din finanțarea inițială a fost urmărită până la un portofel Bitcoin din 2018 controlat de Wu Huihui, un broker cripto chinez acuzat în 2023 pentru spălarea furturilor comise de Lazarus Group, unitatea de hacking cu legături de stat nord-coreene din spatele unora dintre cele mai mari exploatări cripto înregistrate. Alte fonduri proveneau din hackul BTCTurk, un alt furt recent al TraderTraitor.

Hackurile Drift și KelpDAO Dezvăluie Strategii Diferite de Spălare a Banilor Cripto

Drift și KelpDAO demonstrează abordări distincte de spălare a banilor, modelate de condiții operaționale diferite.

Pentru Drift, tokenurile furate au fost convertite în USDC prin Jupiter, transferate prin bridge la Ethereum, schimbate în ETH și distribuite în portofele noi. Fondurile nu au fost mișcate din ziua furtului. Grupul responsabil urmează un tipar nord-coreean documentat de a păstra veniturile luni sau ani înainte de a executa o retragere structurată.

KelpDAO a luat calea opusă. Hackerii TraderTraitor au lăsat aproximativ 30.766 ETH pe Arbitrum, iar Consiliul de Securitate Arbitrum a folosit puteri de urgență pentru a îngheța aproximativ 75 de milioane de dolari din aceștia. Înghețarea a declanșat o grabă rapidă de spălare a banilor.

Aproximativ 175 de milioane de dolari în ETH neînghețat au fost schimbați în Bitcoin, în mare parte prin THORChain, un protocol de lichiditate cross-chain fără cerință KYC. Umbra, un instrument de confidențialitate Ethereum, a fost folosit pentru a ascunde unele conexiuni între portofele înainte de conversie. TRM a declarat că faza de spălare a banilor în curs este gestionată aproape în întregime de intermediari chinezi, nu de nord-coreeni înșiși.

THORChain a procesat majoritatea veniturilor atât din breșa Bybit din 2025, cât și din hackul KelpDAO din 2026, convertind sute de milioane de ETH furați în Bitcoin fără intervenția operatorului. În 2025, majoritatea fondurilor furate de la Bybit au fost convertite din ETH în BTC prin THORChain între 24 februarie și 2 martie. KelpDAO a urmat același plan în aprilie 2026.

Dezvoltatorii și validatorii THORChain au declarat că protocolul este descentralizat, fără un operator central și că nu poate respinge tranzacțiile. Declarații recente pe X ale membrilor proiectului sugerează că acesta nu este, sau nu a fost întotdeauna, cazul.

Ce Spune TRM că Echipele de Conformitate ar Trebui să Monitorizeze

Raportul a enumerat patru priorități de monitorizare pentru burse și protocoale DeFi.

Bursele care primesc intrări BTC din pool-urile THORChain ar trebui să verifice față de clusterele de adrese cunoscute ale KelpDAO și Lazarus Group. Atribuirea pentru adrese specifice KelpDAO este în curs, iar TRM a recomandat re-verificarea depozitelor după 30 de zile, deoarece atribuirea pentru adresele legate de KelpDAO este încă în curs de finalizare.

Protocoalele care utilizează multisig Solana Security Council cu autorizare nonce durabilă ar trebui să trateze incidentul Drift ca un atac șablon care va fi replicat, deoarece a vizat infrastructura de guvernanță, nu logica aplicației.

Verificarea adresei primului salt singur nu va identifica fondurile care au trecut prin portofele intermediare înainte de a ajunge la o bursă. Atât KelpDAO, cât și Bybit au implicat infrastructură bridge sau cross-chain, iar TRM a declarat că este necesară analiza multi-salt.

TRM a indicat, de asemenea, rețeaua sa Beacon Network, care are mai mult de 30 de membri, inclusiv Coinbase, Binance, Kraken, OKX și Crypto.com, și urmărește automat adresele atacatorilor semnalizați în timp real atunci când fondurile legate de Coreea de Nord ajung la o instituție participantă.