Северокорейские хакеры с начала 2026 года увели 76% всей криптовалюты, похищенной киберпреступниками, хотя за этим стоят всего 2 атаки на DeFi-платформы в апреле. По данным TRM Labs, разговор идёт о взломе Drift Protocol на 285 млн долларов и атаке на Kelp DAO на 292 млн долларов. В сумме два инцидента дали большую часть всех потерь от криптовзломов за первые месяцы года, хотя составили лишь 3% от общего числа зафиксированных атак.
По оценке TRM Labs, связанные с КНДР группы с 2017 года похитили у криптопроектов и протоколов более 6 млрд долларов. Подобная цифра показывает превращение крипторынка для Пхеньяна в полноценный источник финансирования. Северокорейские операции мало похожи на массовую стрельбу по случайным целям, а напоминают дорогие и долго готовившиеся удары по самым чувствительным точкам DeFi-инфраструктуры.
Доля КНДР в глобальных потерях от криптовзломов растёт несколько лет подряд. Динамика последних лет выглядит так:

в 2020 и 2021 годах доля держалась ниже 10%;
в 2022 году показатель добрался до 22%;
в 2023 году поднялся до 37% всех потерь;
в 2024 году составил 39%;
в 2025 году вырос до 64%;
в 2026 году к апрелю достиг 76%.

Интересно, что две атаки в апреле дали хакерам КНДР больше денег, чем сотни остальных взломов всех преступников мира с начала года.

Атака на Drift Protocol выделяется особенно. По данным TRM Labs, подготовка в блокчейне началась ещё 11 марта, а сама кампания могла идти месяцами. Самая необычная часть связана с очными встречами северокорейских посредников и сотрудников Drift. Для кампаний КНДР против криптосектора подобный приём выглядит почти беспрецедентным. Атакующие работали не только кодом, но и людьми.
Техническая часть атаки строилась вокруг функции Solana под названием durable nonce. Она позволяет заранее подписывать транзакции и выполнять их позже. 1 апреля злоумышленники провели 31 вывод примерно за 12 минут, выведя реальные активы, среди них USDC и JLP. Затем средства быстро перевели в Ethereum, после чего они остались без движения. Подобная пауза говорит о выжидании подходящего момента для дальнейшей отмывки.
Kelp DAO атаковали другим способом. Сценарий выглядел так:

скомпрометированы 2 внутренних RPC-узла протокола;
организован отказ в обслуживании внешних узлов;
единственный верификатор моста стал получать отравленные данные;
ложно подтверждено сжигание базового актива в исходной сети;
из bridge-контракта Ethereum выведено около 116 500 rsETH на 292 млн долларов.

После атаки на Kelp DAO Совет безопасности Arbitrum применил экстренные полномочия и заморозил около 75 млн долларов из похищенных средств, которые оставались в сети. Подобный шаг стал редким случаем прямого вмешательства и быстро изменил поведение злоумышленников. Примерно 175 млн долларов в ETH затем обменяли на Bitcoin, в основном через THORChain.
THORChain снова оказался в центре внимания аналитиков. Кроссчейн-протокол ликвидности не требует идентификации клиентов и уже использовался для отмывки крупных сумм. Через него прошла значительная часть средств после взлома Bybit в 2025 году с похищенными более 1,4 млрд долларов и после атаки на Kelp DAO в 2026 году. Для преступников это удобный маршрут без оператора, способного замораживать или отклонять переводы.
TRM Labs отмечает совершенствование инструментов северокорейских операторов. Аналитики допускают применение ими ИИ для разведки и социальной инженерии. Подобная гипотеза хорошо ложится на атаку Drift Protocol с её многонедельной подготовкой и работой с людьми. Искусственный интеллект может помочь хакерам сразу в нескольких задачах:

быстрый сбор данных о сотрудниках и руководстве;
подбор легенд под конкретных собеседников;
подготовка переписки в стиле живого человека;
адаптация атак под конкретную команду;
ускорение разведки в блокчейн-инфраструктуре.

Северокорейские хакеры впервые в DeFi пошли на очные встречи с сотрудниками компании, превратив атаку из чисто цифровой в гибридную операцию.

Ранее уже сообщалось о краже до 12 млн долларов в криптовалюте через готовые ИИ-инструменты OpenAI, Cursor и Anima. По данным Expel, группа HexagonalRodent заразила более 2000 компьютеров, а основными целями стали разработчики, связанные с криптовалютами, NFT и Web3. Подобный случай наглядно показал отказ атакующих от написания сложного вредоносного кода с нуля.
Также ранее появлялись данные о связи атаки на KelpDAO с северокорейской группировкой Lazarus. Тогда сообщалось о выводе около 293 млн долларов после подозрительной межсетевой активности вокруг токена rsETH. Команда проекта приостановила контракты в Ethereum и сетях второго уровня, а расследование велось вместе с LayerZero и Unichain. Свежие данные TRM Labs добавляют к истории более широкую картину масштаба апрельской операции.
Для DeFi-рынка вывод выглядит крайне неприятно. Северокорейские группы больше не ищут одни лишь слабые смарт-контракты. Они комбинируют социальную инженерию, работу с сотрудниками, компрометацию инфраструктуры, манипуляцию узлами, мостами и кроссчейн-механизмами. Подобные атаки бьют по доверию внутри протокола, а не только по его коду.
Редакция CISOCLUB убеждена, что рост доли КНДР до 76% всех криптопотерь в 2026 году превратил DeFi в зону стратегического риска, где одна точная атака перекрывает статистику сотен мелких инцидентов. По мнению редакции, проектам уже мало аудировать смарт-контракты.
Мы отмечаем необходимости проверять RPC-инфраструктуру, мосты, верификаторов, доступы сотрудников, процессы подписания транзакций и устойчивость к социальной инженерии. Крипторынок столкнулся не с одиночными взломщиками, а с государственно связанными командами с большим терпением, ресурсами и предметным подходом. Защита должна выйти за пределы кода и закрыть людей, процессы и всю инфраструктуру вокруг протокола.