Північнокорейські хакери вже стали найбільшим кошмаром у криптовалютній сфері. Останнім часом, переглядаючи звіт TRM Labs, я почав відчувати деякий страх — за всього 4 місяці цього року північнокорейські хакерські групи викрали близько 577 мільйонів доларів, що становить 76% від усіх крадіжок у глобальному масштабі за цей період. Цей показник дійсно вражає.

Збитки здебільшого виникли через два великі інциденти у квітні. Kelp DAO було вкрадено 292 мільйони доларів, а Drift Protocol — 285 мільйонів доларів. Цікаво, що ці два випадки складають лише 3% від загальної кількості атак за перші 4 місяці року, але при цьому несуть більшу частину збитків. Це свідчить про те, що північнокорейські хакери вже перейшли від «випадкових стрільб» до точних прицільних ударів.

Злом Kelp DAO було здійснено злочинцями, відомими як TraderTraitor, які тісно пов’язані з групою Лазаря. А атака на Drift була здійснена іншою, ще не повністю розкритою північнокорейською хакерською групою.

Що стосується атаки на Drift, я вважаю, що найстрашніше — це те, що це зовсім не був раптовий напад. TRM розкрила, що це була складна багатомісячна операція проникнення. Агенти з Північної Кореї кілька разів зустрічалися з командою Drift офлайн, починаючи з 11 березня, і почали розгортати підготовчі дії: створювали довгострокові nonce-рахунунки на Solana для попереднього підписання транзакцій, а також спонукали кількох підписантів безпеки Drift попередньо авторизувати транзакції. Кульмінація сталася 1 квітня, коли, всього через кілька днів після того, як Drift змінив поріг дозволів безпеки та скасував тайм-лок, хакери за 12 хвилин активували 31 попередньо підписану команду на зняття коштів, безпосередньо вивівши їх. Така комбінація соціальної інженерії та технічних маніпуляцій є надзвичайно складною для запобігання.

Злом Kelp DAO — це інший сценарій. Хакери виявили вразливість у архітектурі «один верифікатор» у міжланцюговому протоколі LayerZero, проникли в RPC-інфраструктуру та змінили логіку верифікації. Після того, як вони змусили систему передати права верифікації під контроль зловмисників, понад 116 000 rsETH було вкрадено. Навіть коли офіційний Arbitrum терміново заморозив частину активів, хакери швидко переказали кошти через міжланцюгові протоколи, такі як THORChain.

Ще більш тривожним є тренд. Частка крадіжок криптовалют північнокорейськими хакерами у глобальних втратам зростає — з менш ніж 10% у 2020 та 2021 роках до 22% у 2022, 37% у 2023, 39% у 2024, і до рекордних 64% у 2025 році. Цього року цей показник сягнув 76%, що є історичним максимумом. З 2017 року загальні викрадені криптовалюти північнокорейськими хакерами перевищили 6 мільярдів доларів.

TRM зазначає, що у 2025 році великий інцидент із крадіжкою 1,46 мільярда доларів з одного великого біржі став переломним моментом у тактиці північнокорейських хакерів. Після цього вони змінили підхід: замість випадкових атак вони цілеспрямовано націлюються на цінні цілі, зокрема на міжланцюгові мости, системи мультипідпису та інфраструктуру критичного значення, прагнучи знищити ціль з одного удару.

Цікаво, що ці два випадки — Drift і Kelp DAO — також відображають різні методи відмивання грошей північнокорейськими хакерами. У випадку з Drift, зловмисники проявляють терпіння: після переказу коштів на Ethereum вони тримають їх у «засніжному» стані кілька місяців або навіть років, очікуючи, поки ажіотаж вщухне, щоб потім їх реалізувати. У той час як хакери Kelp DAO прагнуть швидкого зняття — швидко обмінюють кошти через THORChain на біткоїни і передають їх у підпільних посередників для відмивання.

У відповідь на цю зростаючу загрозу TRM закликає великі платформи негайно підсилити контроль за дотриманням правил. Основні заходи безпеки включають посилений моніторинг міжланцюгових переказів через THORChain, посилення відстеження багатоступеневих транзакцій у міжланцюгових мостах, а також ретельну перевірку шляхів депозитів, пов’язаних із Solana, особливо тих, що використовують довгострокові nonce. Крім того, галузь має активно долучатися до таких механізмів, як Beacon Network, для спільного захисту — при виявленні адрес, пов’язаних із північнокорейськими хакерами, слід швидко запускати міжплатформенні спільні попередження, щоб повністю припинити відмивання коштів. Ця боротьба ще далека від завершення, і кошмар у криптовалютній сфері триває.