У 2026 році північнокорейські хакерські угруповання стали головним джерелом збитків у криптоіндустрії. За оцінками аналітиків TRM Labs, на їхню діяльність припадає понад три чверті всіх втрат від зламів.
Відомо, що хакери з Північної Кореї відповідальні приблизно за 76% усіх втрат крипторинку з початку 2026 року. У грошовому вимірі це становить близько $577 млн, викрадених у результаті атак на криптопроєкти.
Більша частина цієї суми пов’язана лише з двома інцидентами, що сталися у квітні – атаками на KelpDAO та Drift Protocol. Хоча ці злами становили лише близько 3% від загальної кількості випадків, саме вони спричинили основні фінансові втрати на ринку.
Дві атаки — основний удар по ринку
Згідно з оцінками аналітиків, злам KelpDAO на $292 млн пов’язаний із хакерською групою TraderTraitor, яку асоціюють з екосистемою Lazarus – одним із найвідоміших кіберугруповань КНДР. Водночас атака на Drift Protocol на $285 млн, імовірно, була здійснена іншою підгрупою, хоча розслідування цього інциденту ще триває.
Експерти зазначають, що злам Drift Protocol був ретельно підготовлений. Він поєднував методи соціальної інженерії та технічні інструменти: зловмисники змогли отримати попередньо підписані транзакції, після чого використали їх для швидкого виведення коштів протягом кількох хвилин. Пізніше активи були переведені в мережу Ethereum.
У випадку з KelpDAO атакувальники скористалися вразливістю у кросчейн-інфраструктурі LayerZero. Вони скомпрометували вузли та змогли маніпулювати механізмом валідації, що дозволило вивести понад 116 000 rsETH. Частину викрадених коштів згодом відмили через міжмережеві сервіси, зокрема THORChain.
Зростання ролі КНДР у криптозлочинах
Аналітики наголошують, що частка Північної Кореї у глобальних криптовикраденнях стрімко зростає. Якщо у 2020–2021 роках вона становила менше 10%, то у 2025 році досягла 64%, а у 2026 році, вже 76%.
Загалом із 2017 року північнокорейські угруповання викрали понад $6 млрд у криптовалютах. У TRM Labsзазначають, що стратегія таких атак змінилася: замість великої кількості дрібних інцидентів зловмисники концентруються на поодиноких, але масштабних операціях.
Основними цілями залишаються кросчейн-мости, мультипідписні гаманці та інфраструктурні рішення, де навіть незначні помилки в архітектурі можуть призвести до значних фінансових втрат. Така тактика дозволяє хакерам отримувати максимальний прибуток при мінімальній кількості атак.
