Северокорейские хакеры украли $6B криптовалюту с 2017 года; 76% потерь за 2026 год

Хакеры из Северной Кореи похитили почти три четверти всей криптовалюты, полученной киберпреступниками в 2026 году, — за счёт двух точно проведённых атак на платформы децентрализованных финансов в апреле, сообщила компания TRM Labs, занимающаяся блокчейн-аналитикой. Оба инцидента — взлом Drift Protocol на 285 миллионов долларов 1 апреля и эксплойт Kelp DAO на 292 миллиона долларов 18 апреля — в сумме составляют 76% всех зафиксированных потерь от крипто-взломов за период до апреля. В целом TRM Labs оценивает, что хакеры, связанные с Северной Кореей, с 2017 года украли более 6 миллиардов долларов у криптопротоколов и проектов.

Методология атак и точность

Атака на Drift Protocol выделялась длительной кампанией социальной инженерии. Подготовка в ончейне началась 11 марта, а кампания включала очные встречи северокорейских прокси с сотрудниками Drift в течение нескольких месяцев. Злоумышленники использовали функцию Solana под названием durable nonce, которая позволяет удерживать заранее подписанные транзакции и разворачивать их позже. 1 апреля были выполнены 31 снятие средств примерно за 12 минут, при этом вывели реальные активы, включая USDC и JLP. Украденные средства быстро перевели в Ethereum и с тех пор они бездействуют.

Атака на Kelp DAO пошла по другому техническому пути. Злоумышленники скомпрометировали два внутренних RPC-узла, а затем запустили атаку типа «отказ в обслуживании» на внешние узлы, заставив единственного валидатора моста полагаться на отравленные источники данных. Эти узлы ложно сообщали, что базовый актив якобы был сожжён на исходной цепочке, хотя такого действия не происходило, и примерно 116 500 rsETH — что в эквиваленте составляет около 292 миллионов долларов — было выведено из смарт-контракта моста в Ethereum.

Историческая эскалация краж криптовалюты из Северной Кореи

Эти цифры отражают ускоряющуюся концентрацию краж криптовалюты со стороны оперативников, связанных с государством. Доля Пхеньяна в совокупных потерях от крипто-взломов выросла с менее 10% в 2020 и 2021 годах до 22% в 2022, 37% в 2023, 39% в 2024 и 64% в 2025. Показатель 76% в 2026 году на момент апреля — это самая высокая зафиксированная доля, которая сохранялась дольше всего, несмотря на то, что эти два инцидента составляли лишь 3% от общего числа зафиксированных случаев.

Перемещение средств и отмывание

После кражи в Kelp DAO Арбитражный совет по безопасности Arbitrum применил экстренные полномочия, чтобы заморозить примерно 75 миллионов долларов похищенных средств, которые были оставлены в сети, — редкое вмешательство, которое спровоцировало быстрый ответ на отмывание. Затем около 175 миллионов долларов в ETH обменяли на Bitcoin — в основном через THORChain, кроссчейн-протокол ликвидности, не требующий процедур know-your-customer.

THORChain обработал подавляющую часть поступлений от обоих случаев: взлома Bybit в 2025 году — худшей в истории отрасли кражи, при которой похитили более 1,4 миллиарда долларов в криптовалюте, — и эксплойта Kelp DAO в 2026 году, когда конвертировали сотни миллионов украденного ETH в Bitcoin, без того чтобы ни один оператор не захотел заморозить или отклонить переводы.

Повышение изощрённости атак

Аналитики TRM отметили, что группа, похоже, оттачивает свои инструменты. Аналитики начали предполагать, что северокорейские операторы внедряют ИИ-инструменты в процессы разведки и социальной инженерии. Это согласуется с ростом точности атак, подобной Drift: для неё потребовались недели целенаправленного воздействия на сложные механизмы в блокчейне.