Η Βόρεια Κορέα ευθύνεται για το 76% των απωλειών από κλοπές κρύπτο το 2026 με τις επιθέσεις σε Drift και KelpDAO

Σύμφωνα με έκθεση που δημοσίευσε η TRM Labs, βορειοκορεατικές ομάδες χάκερ ευθύνονται για το 76% των συνολικών απωλειών από κυβερνοεπιθέσεις σε κρυπτονομίσματα το 2026 έως τον Απρίλιο. Τα ίδια περιστατικά αντιστοιχούν σε μόλις 3% του συνόλου των επιθέσεων. Η εταιρεία αποδίδει περίπου 577 εκατομμύρια δολάρια σε κλεμμένα κεφάλαια σε δύο περιπτώσεις: την παραβίαση του Drift Protocol την 1η Απριλίου και την εκμετάλλευση του KelpDAO στις 18 Απριλίου.

Η TRM ανέφερε ότι τα δύο περιστατικά αντιπροσωπεύουν μόνο ένα μικρό μέρος του συνόλου των επιθέσεων φέτος, αλλά καταλαμβάνουν τη συντριπτική πλειονότητα των απωλειών. Η έκθεση περιγράφει ένα μοτίβο όπου ένας περιορισμένος αριθμός υψηλής αξίας επιχειρήσεων προκαλεί το μεγαλύτερο μέρος της ζημίας, αντί για μια ευρεία αύξηση της συχνότητας των επιθέσεων.

Οι συνολικές αποδιδόμενες κλοπές κρυπτονομισμάτων από τη Βόρεια Κορέα υπερβαίνουν πλέον τα 6 δισεκατομμύρια δολάρια από το 2017, βάσει των δεδομένων της TRM.

Το Μερίδιο της Βόρειας Κορέας στις Κλοπές Κρυπτονομισμάτων Αυξάνεται Κάθε Χρόνο από το 2020

Τα δεδομένα της TRM δείχνουν ότι το μερίδιο της Βόρειας Κορέας στις συνολικές απώλειες από κυβερνοεπιθέσεις σε κρυπτονομίσματα αυξήθηκε από κάτω από 10% το 2020 και το 2021 σε 22% το 2022, 37% το 2023, 39% το 2024 και 64% το 2025. Το ποσοστό 76% για το 2026 από την αρχή του έτους είναι το υψηλότερο διατηρούμενο μερίδιο που έχει καταγράψει η TRM.

Η άνοδος του 2025 οφειλόταν σχεδόν εξ ολοκλήρου στην παραβίαση του Bybit τον Φεβρουάριο εκείνου του έτους, κατά την οποία κλάπηκαν 1,46 δισεκατομμύρια δολάρια από ένα ψυχρό πορτοφόλι μέσω μιας παραβιασμένης διεπαφής υπογραφής Safe{Wallet}. Η TRM ανέφερε ότι το Bybit παραμένει η μεγαλύτερη μεμονωμένη κυβερνοεπίθεση σε κρυπτονόμισμα που έχει καταγραφεί.

Ο ρυθμός των επιθέσεων δεν έχει αλλάξει. Η TRM ανέφερε ότι οι βορειοκορεατικές ομάδες χάκερ συνεχίζουν να πραγματοποιούν έναν μικρό αριθμό ακριβώς στοχευμένων επιχειρήσεων κάθε χρόνο, αντί για μια εκστρατεία μεγάλου όγκου.

Σύμφωνα με τους αναλυτές της TRM, αυτό που έχει αλλάξει είναι η πολυπλοκότητα των επιχειρήσεων. Η έκθεση ανέφερε ότι οι αναλυτές έχουν αρχίσει να εικάζουν ότι οι βορειοκορεατικοί χειριστές ενσωματώνουν εργαλεία τεχνητής νοημοσύνης σε ροές εργασίας αναγνώρισης και κοινωνικής μηχανικής, σύμφωνα με την επίθεση Drift, η οποία απαίτησε εβδομάδες στοχευμένης χειραγώγησης πολύπλοκων μηχανισμών blockchain, αντί για τις απλές παραβιάσεις ιδιωτικών κλειδιών στις οποίες η Βόρεια Κορέα βασιζόταν ιστορικά.

Η Κυβερνοεπίθεση στο Drift Protocol Άντλησε 285 Εκατομμύρια Δολάρια Μετά από Μήνες Κοινωνικής Μηχανικής

Η TRM απέδωσε την επίθεση Drift σε μια βορειοκορεατική ομάδα που αξιολογεί ως διαφορετική από το TraderTraitor, έναν συνδεδεμένο με το κράτος βορειοκορεατικό παράγοντα απειλής γνωστό για τη στόχευση εταιρειών κρυπτονομισμάτων μέσω κοινωνικής μηχανικής. Η συγκεκριμένη υποομάδα βρίσκεται ακόμη υπό έρευνα.

Η εκστρατεία ξεκίνησε μήνες πριν από την κλοπή και περιελάμβανε προσωπικές συναντήσεις μεταξύ βορειοκορεατικών αντιπροσώπων και υπαλλήλων του Drift, κάτι που η TRM ανέφερε ότι μπορεί να είναι πρωτοφανές στην ιστορία των κυβερνοεπιθέσεων της Βόρειας Κορέας σε κρυπτονομίσματα. Η on-chain σταδιοποίηση ξεκίνησε στις 11 Μαρτίου με ανάληψη 10 ETH από το Tornado Cash.

Η επίθεση εκμεταλλεύτηκε μια λειτουργία του Solana που ονομάζεται durable nonce, η οποία επεκτείνει το παράθυρο εγκυρότητας μιας προ-υπογεγραμμένης συναλλαγής από περίπου 90 δευτερόλεπτα σε αόριστο χρόνο. Μεταξύ 23 και 30 Μαρτίου, ο εισβολέας παρέσυρε τους υπογράφοντες του multisig του Συμβουλίου Ασφαλείας του Drift να προεγκρίνουν συναλλαγές χρησιμοποιώντας durable nonces. Στις 27 Μαρτίου, το Drift μετέφερε το Συμβούλιο Ασφαλείας του σε μια διαμόρφωση ορίου 2/5 με μηδενικό timelock, την οποία ο εισβολέας αργότερα εκμεταλλεύτηκε.

Παράλληλα, ο εισβολέας δημιούργησε ένα token που ονομάζεται CarbonVote Token (CVT), του παρείχε ρευστότητα και ανέβασε την τιμή μέσω wash trading. Τα oracles του Drift αντιμετώπισαν το CVT ως νόμιμη εγγύηση.

Την 1η Απριλίου, οι προ-υπογεγραμμένες συναλλαγές μεταδόθηκαν. Η TRM ανέφερε ότι 31 αναλήψεις εκτελέστηκαν σε περίπου 12 λεπτά, αντλώντας USDC, JLP (το token παρόχου ρευστότητας Jupiter) και άλλα περιουσιακά στοιχεία. Τα περισσότερα κεφάλαια μεταφέρθηκαν με γέφυρα στο Ethereum μέσα σε ώρες και δεν έχουν κινηθεί έκτοτε.

Το KelpDAO Έχασε 292 Εκατομμύρια Δολάρια Μέσω Ευπάθειας LayerZero Μονού Επαληθευτή

Η παραβίαση του KelpDAO στις 18 Απριλίου στόχευσε τη γέφυρα rsETH LayerZero του έργου στο Ethereum. Το rsETH είναι το token υγρής επανατοποθέτησης του KelpDAO, το οποίο αντιπροσωπεύει ETH επανατοποθετημένο σε πολλαπλά πρωτόκολλα.

Σύμφωνα με την TRM, οι επιτιθέμενοι παραβίασαν δύο εσωτερικούς κόμβους RPC και αντικατέστησαν το λογισμικό των κόμβων για να τους κάνουν να αναφέρουν ψευδή δεδομένα blockchain. Στη συνέχεια εξαπέλυσαν επίθεση DDoS κατά των εξωτερικών μη παραβιασμένων κόμβων RPC, αναγκάζοντας τον επαληθευτή της γέφυρας να αποτύχει και να ανακατευθυνθεί στους δύο δηλητηριασμένους εσωτερικούς κόμβους.

Οι δηλητηριασμένοι κόμβοι ανέφεραν ψευδώς ότι το rsETH είχε καεί στην αλυσίδα πηγής, ενώ δεν είχε συμβεί κάψιμο. Ο μοναδικός επαληθευτής επιβεβαίωσε το δόλιο μήνυμα cross-chain ως νόμιμο, και ο εισβολέας άντλησε περίπου 116.500 rsETH αξίας περίπου 292 εκατομμυρίων δολαρίων από το συμβόλαιο γέφυρας.

Η TRM ανέφερε ότι η διαμόρφωση μονού DVN (Αποκεντρωμένο Δίκτυο Επαληθευτών) είναι η καθοριστική ευπάθεια. Το LayerZero υποστηρίζει τη διαμόρφωση πολλαπλών ανεξάρτητων επαληθευτών για cross-chain επικύρωση, αλλά η ανάπτυξη rsETH του KelpDAO χρησιμοποίησε μόνο το DVN του LayerZero Labs. Χωρίς να απαιτείται δεύτερος επαληθευτής για συμφωνία, μία δηλητηριασμένη πηγή δεδομένων ήταν αρκετή.

Η TRM απέδωσε την εκμετάλλευση στη Βόρεια Κορέα βάσει on-chain ανάλυσης τόσο της προχρηματοδότησης όσο και της νομιμοποίησης εσόδων. Μέρος της αρχικής χρηματοδότησης ανιχνεύθηκε σε ένα πορτοφόλι Bitcoin του 2018 που ελέγχεται από τον Wu Huihui, έναν Κινέζο μεσίτη κρυπτονομισμάτων που κατηγορήθηκε το 2023 για νομιμοποίηση εσόδων από κλοπές της Lazarus Group, της βορειοκορεατικής κρατικά συνδεδεμένης μονάδας hacking πίσω από μερικές από τις μεγαλύτερες εκμεταλλεύσεις κρυπτονομισμάτων που έχουν καταγραφεί. Άλλα κεφάλαια προήλθαν από την κυβερνοεπίθεση BTCTurk, μια άλλη πρόσφατη κλοπή TraderTraitor.

Οι Κυβερνοεπιθέσεις στο Drift και στο KelpDAO Αποκαλύπτουν Διαφορετικές Στρατηγικές Νομιμοποίησης Εσόδων από Κρυπτονομίσματα

Το Drift και το KelpDAO επιδεικνύουν διακριτές προσεγγίσεις νομιμοποίησης εσόδων που διαμορφώνονται από διαφορετικές επιχειρησιακές συνθήκες.

Για το Drift, τα κλεμμένα tokens μετατράπηκαν σε USDC μέσω Jupiter, μεταφέρθηκαν με γέφυρα στο Ethereum, ανταλλάχθηκαν σε ETH και διανεμήθηκαν σε νέα πορτοφόλια. Τα κεφάλαια δεν έχουν κινηθεί από την ημέρα της κλοπής. Η υπεύθυνη ομάδα ακολουθεί ένα τεκμηριωμένο βορειοκορεατικό μοτίβο διατήρησης των εσόδων για μήνες ή χρόνια πριν από την εκτέλεση δομημένης ρευστοποίησης.

Το KelpDAO ακολούθησε την αντίθετη πορεία. Οι χάκερ TraderTraitor άφησαν περίπου 30.766 ETH στο Arbitrum, και το Συμβούλιο Ασφαλείας του Arbitrum χρησιμοποίησε εκτακτες εξουσίες για να δεσμεύσει περίπου 75 εκατομμύρια δολάρια από αυτά. Η δέσμευση πυροδότησε μια ταχεία βιαστική νομιμοποίηση εσόδων.

Περίπου 175 εκατομμύρια δολάρια σε μη δεσμευμένο ETH ανταλλάχθηκαν σε Bitcoin, κυρίως μέσω του THORChain, ενός cross-chain πρωτοκόλλου ρευστότητας χωρίς απαίτηση KYC. Το Umbra, ένα εργαλείο απορρήτου Ethereum, χρησιμοποιήθηκε για να αποκρύψει ορισμένες συνδέσεις πορτοφολιών πριν από τη μετατροπή. Η TRM ανέφερε ότι η εν εξελίξει φάση νομιμοποίησης εσόδων χειρίζεται σχεδόν εξ ολοκλήρου από Κινέζους μεσάζοντες και όχι από τους ίδιους τους Βορειοκορεάτες.

Το THORChain επεξεργάστηκε την πλειονότητα των εσόδων τόσο από την παραβίαση του Bybit το 2025 όσο και από την κυβερνοεπίθεση στο KelpDAO το 2026, μετατρέποντας εκατοντάδες εκατομμύρια κλεμμένα ETH σε Bitcoin χωρίς παρέμβαση χειριστή. Το 2025, τα περισσότερα κλεμμένα κεφάλαια Bybit μετατράπηκαν από ETH σε BTC μέσω THORChain μεταξύ 24 Φεβρουαρίου και 2 Μαρτίου. Το KelpDAO ακολούθησε το ίδιο εγχειρίδιο τον Απρίλιο του 2026.

Οι προγραμματιστές και οι validators του THORChain έχουν δηλώσει ότι το πρωτόκολλο είναι αποκεντρωμένο χωρίς κεντρικό χειριστή και ότι δεν μπορεί να απορρίψει συναλλαγές. Πρόσφατες δηλώσεις στο X από μέλη του έργου υποδηλώνουν ότι αυτό δεν ισχύει, ή δεν ίσχυε πάντα.

Τι Λέει η TRM ότι Πρέπει να Παρακολουθούν οι Ομάδες Συμμόρφωσης

Η έκθεση κατέγραψε τέσσερις προτεραιότητες παρακολούθησης για ανταλλακτήρια και πρωτόκολλα DeFi.

Τα ανταλλακτήρια που λαμβάνουν εισροές BTC από τις δεξαμενές THORChain πρέπει να ελέγχουν έναντι γνωστών συστάδων διευθύνσεων KelpDAO και Lazarus Group. Η απόδοση για συγκεκριμένες διευθύνσεις KelpDAO βρίσκεται σε εξέλιξη, και η TRM συνέστησε επανέλεγχο καταθέσεων μετά από 30 ημέρες, καθώς η απόδοση για διευθύνσεις συνδεδεμένες με το KelpDAO βρίσκεται ακόμη σε εξέλιξη.

Τα πρωτόκολλα που χρησιμοποιούν Solana Security Council multisig με εξουσιοδότηση durable nonce πρέπει να αντιμετωπίζουν το περιστατικό Drift ως επίθεση-πρότυπο που θα επαναληφθεί, καθώς στόχευσε υποδομή διακυβέρνησης και όχι λογική εφαρμογής.

Ο έλεγχος διεύθυνσης πρώτου βήματος από μόνος του δεν θα εντοπίσει κεφάλαια που πέρασαν μέσω ενδιάμεσων πορτοφολιών πριν φτάσουν σε ένα ανταλλακτήριο. Τόσο το KelpDAO όσο και το Bybit περιελάμβαναν υποδομή γέφυρας ή cross-chain, και η TRM ανέφερε ότι απαιτείται ανάλυση πολλαπλών βημάτων.

Η TRM επεσήμανε επίσης το Δίκτυο Beacon της, το οποίο έχει περισσότερα από 30 μέλη, συμπεριλαμβανομένων των Coinbase, Binance, Kraken, OKX και Crypto.com, και ανιχνεύει αυτόματα σημαιοδοτημένες διευθύνσεις επιτιθέμενων σε πραγματικό χρόνο όταν κεφάλαια συνδεδεμένα με τη Βόρεια Κορέα φτάνουν σε ένα συμμετέχον ίδρυμα.