Северная Корея украла $577M в крипто-взломах по апрель 2026 года: TRM Labs

Северокорейские актёры извлекли приблизительно 577 миллионов долларов в первые четыре месяца 2026 года, что составило 76% всех глобальных потерь от взломов криптовалют за период, заявила компания TRM Labs по блокчейн-аналитике. Похищение было обусловлено двумя крупными инцидентами в апреле: эксплойтом KelpDAO на 292 миллиона долларов и атакой на Drift Protocol на 285 миллионов долларов, вместе они составили всего 3% от общего числа случаев взлома в 2026 году по апрель.

Подробности атак в апреле

Атаку на Drift Protocol приписали северокорейской подгруппе, не связанной с TraderTraitor — хорошо задокументированной операции, аффилированной с Lazarus, хотя точная атрибуция остаётся предметом расследования. TRM сообщила, что атака включала месяцы очных встреч между северокорейскими прокси и сотрудниками Drift. Подготовка началась ещё 11 марта, когда атакующий создал долговечные nonce-аккаунты в Solana и побудил подписантов multisig Security Council Drift к предварительному разрешению транзакций. 1 апреля, через несколько дней после того, как Drift перенёс Security Council на новую конфигурацию порога 2/5 с нулевым timelock, атакующий развернул 31 предварительно подписанное снятие средств, чтобы вывести деньги на фазе быстрой реализации, которая длилась примерно 12 минут. Позднее средства были переброшены в Ethereum, где с тех пор в основном оставались бездействующими.

Взлом KelpDAO приписали TraderTraitor. Атака использовала одноверификаторную схему в LayerZero-бридже, скомпрометировав RPC-инфраструктуру и изменив логику кроссчейн-валидации. Злоумышленники вывели примерно 116 500 rsETH после того, как заставили проверку завершиться неудачей на скомпрометированных узлах; последующая отмывка направлялась через кроссчейн-инфраструктуру, включая THORChain, после частичных заморозок активов на Arbitrum.

Ускорение исторических краж

TRM сообщила, что доля Северной Кореи в глобальных потерях от взломов криптовалют «ускорилась», а не вышла на плато. Доля выросла с менее чем 10% в 2020 и 2021 годах до 22% в 2022 году, 37% в 2023 году, 39% в 2024 году и 64% в 2025 году. Кумулятивная атрибутированная кража сейчас превышает 6 миллиардов долларов с 2017 года.

TRM назвала взлом Bybit на 1,46 миллиарда долларов в 2025 году ключевой точкой перелома в недавнем профиле активности Северной Кореи. С тех пор операционный темп оставался стабильным: элитные группы делают ставку на меньшее число, но более результативных атак, нацеленных на мосты, системы управления multisig и кроссчейн-инфраструктуру.

Разные подходы к отмыванию

Инциденты с Drift и KelpDAO подчёркивают разные стратегии отмывания денег. Группа, связанная с Drift, оставила активы в основном бездействующими после первичной переброски в Ethereum и, вероятно, «будет удерживать выручку месяцами или годами, а затем выполнит структурированный, многофазный вывод наличных», — сообщила TRM.

Атакующие KelpDAO выводили средства быстрее, проводя кроссчейн-обмены в Bitcoin через THORChain; текущая фаза отмывания выполнялась в основном китайскими посредниками, а не самими северокорейцами.

Приоритеты мониторинга комплаенса

TRM обозначила приоритеты мониторинга комплаенса, включая потоки, связанные с THORChain, из скомпрометированных сред мостов, многоходовое отслеживание транзакций по мостовой инфраструктуре, а также скрининг путей депозитов, связанных с управлением в Solana, с участием долговечных nonce-транзакций. Компания также подчеркнула участие Beacon Network на биржах и в DeFi-протоколах как механизм для ускорения оповещений между платформами, как только будут идентифицированы адреса, связанные с Северной Кореей.