Хакери з Північної Кореї викрадають $6B -крипто з 2017 року, 76% втрат за 2026 рік

Хакери з Північної Кореї викрали майже три чверті всієї криптовалюти, отриманої злочинцями внаслідок кібератак з березня 2026 року, через два точно виконані напади на платформи децентралізованих фінансів у квітні, повідомляє компанія з блокчейн-аналітики TRM Labs. Два інциденти — порушення безпеки на суму 285 мільйонів доларів у Drift Protocol 1 квітня та експлойт на 292 мільйона доларів у Kelp DAO 18 квітня — разом становлять 76% усіх зафіксованих втрат від криптохаків станом на квітень. Загалом TRM Labs оцінює, що хакери, пов’язані з Північною Кореєю, викрали понад 6 мільярдів доларів у криптопротоколів і проєктів з 2017 року.

Методологія та точність атак

Атака на Drift Protocol була помітною завдяки тривалій кампанії соціальної інженерії. Підготовка в ончейн-режимі стартувала 11 березня, а кампанія включала очні зустрічі між північнокорейськими проксі та співробітниками Drift протягом кількох місяців. Атакувальники використали функцію Solana під назвою durable nonce, яка дозволяє утримувати заздалегідь підписані транзакції та розгортати їх у пізніший час. 1 квітня 31 зняття було виконано приблизно за 12 хвилин, вивівши реальні активи, зокрема USDC і JLP. Вкрадені кошти швидко переказали на Ethereum і з того часу залишаються бездіяльними.

Атака на Kelp DAO пішла іншим технічним шляхом. Зловмисники скомпрометували два внутрішні RPC-вузли, а потім запустили атаку типу відмова в обслуговуванні на зовнішні вузли, змусивши єдиного верифікатора моста покладатися на отруєні джерела даних. Ці вузли помилково повідомили, що базовий актив було спалено в мережі-джерелі, хоча такої дії не відбувалося, і приблизно 116 500 rsETH — на суму близько 292 мільйонів доларів — було виведено з контракту Ethereum-моста.

Історичне нарощування крадіжок з боку Північної Кореї

Цифри відображають прискорене зосередження крадіжок криптовалюти державними північнокорейськими операторами. Частка Пхеньяна у загальних втратах від криптохаків зросла з менш ніж 10% у 2020 і 2021 роках до 22% у 2022 році, 37% у 2023 році, 39% у 2024 році та 64% у 2025 році. Показник 2026 року в 76% станом на квітень є найвищою стабільною часткою зафіксованою на тривалому відрізку, попри те, що ці два інциденти становлять лише 3% від загальної кількості інцидентів, зафіксованих у періоді.

Рух коштів і відмивання

Після крадіжки в Kelp DAO Arbitrum Security Council скористався надзвичайними повноваженнями, щоб заморозити приблизно 75 мільйонів доларів вкрадених коштів, які залишилися в мережі — рідкісне втручання, що спровокувало швидку реакцію на відмивання. Після цього приблизно 175 мільйонів доларів у ETH обміняли на Bitcoin, здебільшого через THORChain — кросчейн-протокол ліквідності, який не має вимоги know-your-customer.

THORChain обробив переважну більшість надходжень від обох атак: порушення безпеки в Bybit у 2025 році — найгіршої в історії галузі крадіжки, коли вкрали понад 1,4 мільярда доларів у криптовалюті — та хаку Kelp DAO у 2026 році, конвертуючи сотні мільйонів вкраденого ETH у Bitcoin без жодного оператора, який був би готовий заморозити або відхилити перекази.

Зростання рівня технічної досконалості атак

Аналітики TRM зазначили, що група, схоже, загострює свої інструменти. Аналітики почали припускати, що північнокорейські оператори вбудовують інструменти штучного інтелекту в свої процеси розвідки та соціальної інженерії — розвиток, узгоджений із підвищенням точності атак на кшталт Drift, які вимагали тижнів спрямованих маніпуляцій складними механізмами блокчейну.