Kelp DAO werd zaterdag getroffen door een hack van $292 miljoen, waarmee het Drift overtrof als de grootste crypto-exploit van dit jaar tot nu toe. Noord-Korea-gelinkte hackers worden verdacht achter de aanval te zitten.
Kelp DAO liet maandag weten dat de exploit voortkwam uit een storing in de infrastructuur van cross-chain berichtenprotocol LayerZero. LayerZero stelde dat de inbreuk mogelijk werd gemaakt doordat Kelp DAO een enkele verificatorconfiguratie gebruikte om cross-chain berichten goed te keuren.
LayerZero zei dat "voorlopige indicatoren" de exploit toeschrijven aan TraderTraitor, een subgroep van Noord-Korea's staatsgesponsorde hackereenheid bekend als Lazarus Group.
Blockchain-onderzoeker Tanuki42 vond in zijn bevindingen ook verbanden met TraderTraitor. Tanuki42 meldde dinsdag dat gestolen gelden uit het Kelp DAO-incident zijn vermengd met eerdere exploits die aan dezelfde groep zijn gekoppeld.
Hoewel Noord-Korea's cyberactiviteit gericht op gedecentraliseerde financiële platforms in april is versneld, vormen de tactieken ook een bedreiging voor bedrijven en eindgebruikers.
Gelden van de Kelp DAO-exploit zijn vermengd met wallets die zijn gekoppeld aan de $1,4 miljard Bybit-hack in februari 2025. Bron: Tanuki42
Noord-Korea's cryptoplannen opnieuw in de schijnwerpers
De April-Fools'-dag-exploit op gedecentraliseerde exchange Drift bedroeg in totaal $285 miljoen, waarmee de vermoedelijke Noord-Korea-gelinkte cryptodiefstal op ten minste $578 miljoen uitkwam over grote incidenten gedurende de maand.
De twee aanvallen zijn de grootste cryptodiefstallen die aan Noord-Koreaanse actoren worden toegeschreven sinds de Bybit-hack.
Inmiddels heeft de crypto-industrie door dat DPRK-gelinkte operatoren zich voordoen als IT-ontwikkelaars om op afstand te werken bij techbedrijven. Veiligheidsonderzoekers en de Verenigde Naties zeggen dat deze tactiek miljoenen dollars genereert ter ondersteuning van Noord-Korea's wapenprogramma's.
Zwakke achtergrondcontroles stellen Noord-Koreaanse IT-werknemers in staat om op afstand klussen te bemachtigen. Bron: Tanuki42
Gerelateerd: Noord-Koreaanse cyberspionnen zijn niet langer alleen bedreigingen op afstand
In maart heeft het Amerikaanse ministerie van Financiën zes personen en twee entiteiten gesanctioneerd vanwege hun vermeende rol in Noord-Koreaanse IT-werknemersfraude. De FBI heeft in juni ook richtlijnen uitgevaardigd, waarbij werkgevers wordt aanbevolen de professionele achtergrond van kandidaten te verifiëren en persoonlijke ontmoetingen te eisen.
De Drift-exploit suggereert echter dat de cyberoperatoren van Pyongyang zich aanpassen. Het DeFi-platform zei dat zijn medewerkers in november persoonlijk werden benaderd door personen die zich voordeden als een kwantitatief handelsbedrijf op een grote cryptoconferentie. De aanvallers bleven communiceren en vertrouwen opbouwen voor de inbreuk.
Kleinschaligere aanvallen zijn ondertussen doorgegaan. Crypto-walletprovider Zerion zei dat DPRK-gelinkte actoren AI-ondersteunde social engineering gebruikten om in een afzonderlijk incident ongeveer $100.000 te stelen.
Noord-Korea reageert zelden op dergelijke beschuldigingen, hoewel het ministerie van Buitenlandse Zaken in mei 2020 een verklaring uitvaardigde waarin betrokkenheid bij cyberaanvallen werd ontkend en de Verenigde Staten ervan werden beschuldigd te proberen zijn imago te beschadigen.
Retailcryptoscams nemen toe naarmate DPRK-tactieken zich verspreiden
De Federal Bureau of Investigation (FBI) meldde een stijging van 21% in crypto-gerelateerde misdaadklachten in zijn 2025 Internet Crime Complaint Center (IC3)-rapport. De FBI lanceerde IC3 in 2000 als een portaal voor slachtoffers in de VS om online fraude te melden.
Cryptocurrency-gevallen waren in 2025 gekoppeld aan 181.565 klachten, wat resulteerde in $11,37 miljard aan verliezen, meer dan de helft van het totaal.
Beleggers van 60 jaar en ouder meldden de meeste klachten met betrekking tot crypto in 2025. Bron: FBI
Gerelateerd: Noord-Koreaanse spion maakt een fout en onthult banden in een nep-sollicitatiegesprek
Oudere Amerikanen van 60 jaar en ouder dienden het hoogste aantal crypto-gerelateerde klachten in. Investeringsfraude was de grootste categorie, met 61.559 klachten, waarvan 13.685 van mensen van 60 jaar en ouder.
Dat betekent niet dat de retailsector onaangetast is door vermoedelijke Noord-Koreaanse operaties. Een onderzoek dat afgelopen november werd gepubliceerd, ontdekte dat DPRK-gelinkte operatoren ook personen werven om op afstand IT-werknemersregelingen te ondersteunen.
Gedurende 2025 kwam Heiner García, een cyberdreigingsinformatie-expert bij Telefónica, in contact met een vermoedelijke Noord-Koreaanse operatief.
García vertelde Cointelegraph eerder dat de persoon probeerde hem als proxy te gebruiken om VPN-beperkingen van freelanceplatforms te omzeilen. De tactiek houdt in dat het apparaat van een slachtoffer in een lokaal rechtsgebied wordt gebruikt door software voor externe toegang te installeren, zoals AnyDesk.
In augustus 2024 arresteerde het Amerikaanse ministerie van Justitie Matthew Isaac Knoot voor het runnen van een "laptopboerderij" waarmee DPRK IT-werknemers konden verschijnen als in de VS gevestigde werknemers met behulp van gestolen identiteiten. In juli 2025 werd Christina Chapman veroordeeld tot meer dan acht jaar gevangenisstraf voor haar rol bij het helpen van Noord-Koreaanse IT-werknemers om meer dan $17 miljoen te verdienen.
De afweging achter het bevriezen van fondsen gestolen door vermoedelijke DPRK-actoren
Een uniek element van de Kelp DAO-hack was de beslissing van de Arbitrum Security Council om 30.766 ETH te bevriezen die gekoppeld zijn aan de exploit.
Het ethos van crypto is decentralisatie, maar reacties op grote hacks blijven de industrie verdelen. Sommige projecten neigen naar minimale interventie, zelfs als beveiligingsexperts om actie vragen, waardoor er weinig consensus bestaat over wanneer het gepast is in te grijpen.
USDC-uitgever Circle kreeg kritiek van brancheparticipanten vanwege zijn inactiviteit bij de Drift-hack. Bron: James Seyffart
Ledger CTO Charles Guillemet zei dinsdag dat de uitkomst "waarschijnlijk" goed was, maar niet comfortabel. Het bevriezen van de fondsen heeft waarschijnlijk verdere verliezen voorkomen. Het ongemak komt voort uit wat de actie expliciet maakt.
De Arbitrum Security Council heeft geen bug misbruikt of een achterdeur ontdekt. Het heeft zijn bedoelde bevoegdheid uitgeoefend om de staat te overschrijven. Die bevoegdheid bestaat by design en staat op gespannen voet met het idee van geloofwaardig neutrale infrastructuur. In de praktijk kunnen activa op huidige rollups nog steeds worden beïnvloed door governance-beslissingen onder bepaalde omstandigheden.
Guillemet koppelt die afweging aan de dreigingsomgeving. De Kelp DAO-exploit was niet gebaseerd op een nieuw slim contractbug. Het legde zwakheden bloot in infrastructuur en configuratie, en toonde aan hoe aanvallen verder gaan dan code naar de systemen die het ondersteunen.
Tegelijkertijd zijn Noord-Korea-gelinkte groepen uitgegroeid tot goed uitgeruste, aanhoudende tegenstanders die in staat zijn die systemen op meerdere fronten te onderzoeken.
Dat laat de industrie verdeeld achter tussen het accepteren van interventie of het accepteren van verliezen die niet ongedaan kunnen worden gemaakt.
Magazine: Adam Back zegt dat de huidige vraag 'bijna' genoeg is om Bitcoin naar $1M te sturen
- #Cryptocurrencies
- #Hackers
- #North Korea
- #Cybersecurity
- #DeFi
- #Features
- #Industry
