北朝鮮は2026年4月までの暗号ハックで$577M を盗んだ：TRM Labs

2026年の最初の4か月間に、北朝鮮の俳優が約$577 millionを抽出したとブロックチェーン・インテリジェンス企業TRM Labsが報じた。これは当該期間における世界の暗号資産ハック損失全体の76%に相当する。盗難は、2026年の4月までに発生したハック全件のうちわずか3%を占めた2つの主要な4月の事件によってもたらされた。すなわち、$292 millionのKelpDAOエクスプロイトと、$285 millionのDrift Protocol攻撃である。

4月の攻撃の詳細

Drift Protocol攻撃は、Lazarusが関与することでよく知られた一連の作戦であるTraderTraitorとは別の、北朝鮮のサブグループによるものだとされたが、具体的な帰属は現在調査中である。TRMは、この攻撃には北朝鮮側の代理人とDriftの従業員の間で行われた数か月にわたる対面での会合が含まれていたと述べた。準備は3月11日頃には始まっており、攻撃者はSolana上で耐久性のあるnonceアカウントを作成し、DriftのSecurity Councilのマルチシグ署名者に対して取引を事前承認するよう促した。4月1日、DriftがSecurity Councilを新しい2/5の閾値設定（ゼロのtimelock）へ移行してから数日後に、攻撃者は事前署名済みの出金31件を投入し、約12分間続く急速な実行フェーズで資金を流出させた。その後、資金はEthereumへブリッジされ、それ以降はほぼ休眠状態のままである。

KelpDAOの侵害はTraderTraitorに帰属するとされた。攻撃は、LayerZeroブリッジにおける単一バリファイア設計を悪用し、RPCインフラを侵害してクロスチェーンの検証ロジックを操作することで成立した。攻撃者は、検証が侵害済みノードへフォールするよう強制した後、約116,500 rsETHを流出させ、続くマネーロンダリングは、Arbitrum上での資産の一部凍結の後、THORChainを含むクロスチェーン基盤を通じてルーティングされた。

歴史的な窃盗の加速

TRMは、北朝鮮の世界における暗号資産ハック損失の割合が「頭打ち」ではなく「加速」していると報告した。その比率は、2020年と2021年に10%未満だったのが、2022年に22%、2023年に37%、2024年に39%、2025年に64%へ上昇した。累計で帰属が確認できる盗難額は、2017年以降で$6 billionを超えている。

TRMは、北朝鮮の最近の活動パターンにおける重要な転換点として、2025年の$1.46 billion Bybitの侵害を挙げた。それ以降、運用のリズムは一貫しており、エリート集団は、ブリッジ、マルチシグのガバナンス・システム、クロスチェーン基盤を対象に「件数は少なく、影響は大きい」攻撃を優先するようになっている。

異なるマネーロンダリング手法

DriftとKelpDAOの一連の事件は、異なるマネーロンダリング戦略を示している。Driftに関連するグループは、最初のEthereumへのブリッジ後、資産をほとんど動かしておらず、TRMによれば「何か月も、あるいは何年も売却益を保有し、その後、構造化された複数フェーズの現金化を実行する」可能性が高い。

KelpDAOの攻撃者は、THORChainを介したクロスチェーンのスワップで、より迅速にBitcoinへ資金を移した。進行中のロンダリング・フェーズは、北朝鮮の当事者自身ではなく、中国の仲介業者によって主に担われている。

コンプライアンス監視の優先事項

TRMは、コンプライアンス監視の優先事項として、侵害されたブリッジ環境からのTHORChainに連動したフロー、ブリッジ基盤をまたぐマルチホップのトランザクション追跡、耐久性のあるnonce取引を伴うSolanaのガバナンス関連の預金パスのスクリーニングを挙げた。同社はさらに、北朝鮮に結び付くアドレスが特定された後に、プラットフォーム横断でのアラートを加速させるメカニズムとして、Beacon Networkが取引所およびDeFiプロトコルに参加している点も強調した。