Korea Utara Mencuri $577M dalam Peretasan Kripto hingga April 2026: TRM Labs

Aktor Korea Utara mengekstrak sekitar 577 juta dolar AS melalui empat bulan pertama tahun 2026, yang mewakili 76% dari seluruh kerugian peretasan kripto global selama periode tersebut, menurut perusahaan intelijen blockchain TRM Labs. Pencurian itu didorong oleh dua insiden besar pada April: eksploitasi KelpDAO senilai 292 juta dolar AS dan serangan Drift Protocol senilai 285 juta dolar AS, yang bersama-sama hanya menyumbang 3% dari total insiden peretasan pada 2026 hingga April.

Rincian Serangan April

Serangan Drift Protocol dikaitkan dengan subkelompok Korea Utara yang terpisah dari TraderTraitor, operasi Lazarus yang terdokumentasi dengan baik, meskipun atribusi spesifik masih dalam penyelidikan. TRM mengatakan serangan itu melibatkan berbulan-bulan pertemuan tatap muka antara proksi Korea Utara dan karyawan Drift. Proses penyiapan dimulai sedini 11 Maret, ketika pelaku membuat akun nonce yang persisten di Solana dan mendorong penandatangan multisig Security Council Drift untuk melakukan prapemberian otorisasi transaksi. Pada 1 April, beberapa hari setelah Drift memigrasikan Security Council ke konfigurasi ambang 2/5 baru dengan timelock nol, pelaku menerapkan 31 penarikan yang sudah ditandatangani sebelumnya untuk menguras dana dalam fase eksekusi cepat yang berlangsung sekitar 12 menit. Dana tersebut kemudian dijembatani ke Ethereum, tempat dana itu sejak saat itu sebagian besar tetap tidak aktif.

Kebobolan KelpDAO dikaitkan dengan TraderTraitor. Serangan itu mengeksploitasi desain single-verifier pada jembatan LayerZero dengan mengkompromikan infrastruktur RPC dan memanipulasi logika validasi lintas-rantai. Penyerang menguras sekitar 116.500 rsETH setelah memaksa verifikasi gagal beralih ke node yang telah dikompromikan, dengan pencucian berikutnya dialirkan melalui infrastruktur lintas-rantai, termasuk THORChain, setelah pembekuan aset parsial di Arbitrum.

Akselerasi Pencurian Historis

TRM melaporkan bahwa porsi Korea Utara atas kerugian peretasan kripto global telah “dipercepat” alih-alih melandai. Porsi tersebut naik dari di bawah 10% pada 2020 dan 2021 menjadi 22% pada 2022, 37% pada 2023, 39% pada 2024, dan 64% pada 2025. Total pencurian yang dapat dikaitkan kini melebihi 6 miliar dolar AS sejak 2017.

TRM menunjuk kebobolan Bybit senilai 1,46 miliar dolar AS pada 2025 sebagai titik perubahan utama dalam profil aktivitas Korea Utara yang lebih baru. Sejak saat itu, ritme operasional tetap konsisten, dengan kelompok elit mengutamakan serangan yang lebih sedikit tetapi berdampak lebih tinggi yang menargetkan jembatan, sistem tata kelola multisig, dan infrastruktur lintas-rantai.

Perbedaan Pendekatan Pencucian

Insiden Drift dan KelpDAO menyoroti strategi pencucian uang yang berbeda. Kelompok yang terkait dengan Drift meninggalkan aset sebagian besar tidak aktif setelah penanaman awal ke Ethereum dan kemungkinan akan “menahan hasil selama berbulan-bulan atau bertahun-tahun, lalu mengeksekusi penarikan terstruktur, bertahap,” menurut TRM.

Pelaku KelpDAO memindahkan dana lebih cepat melalui pertukaran lintas-rantai ke Bitcoin melalui THORChain, dengan fase pencucian yang sedang berlangsung ditangani terutama oleh perantara Tiongkok, bukan oleh orang Korea Utara itu sendiri.

Prioritas Pemantauan Kepatuhan

TRM merinci prioritas pemantauan kepatuhan termasuk aliran yang terkait THORChain dari lingkungan jembatan yang dikompromikan, pelacakan transaksi multi-hop lintas infrastruktur jembatan, serta penyaringan jalur setoran terkait tata kelola Solana yang melibatkan transaksi nonce yang persisten. Perusahaan itu juga menyoroti partisipasi Beacon Network di berbagai bursa dan protokol DeFi sebagai mekanisme untuk mempercepat peringatan lintas platform setelah alamat yang terkait Korea Utara diidentifikasi.