Noord-Korea is verantwoordelijk voor 76% van de crypto-hackverlies in 2026 met Drift en KelpDAO-exploits

Noord-Koreaanse hackersgroepen waren verantwoordelijk voor 76% van alle verliezen door cryptohacks in 2026 tot en met april, volgens een rapport gepubliceerd door TRM Labs. Dezelfde incidenten waren goed voor slechts 3% van het totale aantal aanvallen. Het bedrijf schrijft ongeveer $577 miljoen aan gestolen fondsen toe aan twee gevallen: het Drift Protocol-lek op 1 april en de KelpDAO-exploit op 18 april.

TRM stelde dat de twee incidenten slechts een klein deel van het totale aantal aanvallen dit jaar vertegenwoordigen, maar verantwoordelijk zijn voor de overgrote meerderheid van de verliezen. Het rapport beschrijft een patroon waarbij een beperkt aantal hoogwaardige operaties de meeste schade veroorzaakt, in plaats van een brede toename van de aanvalsfrequentie.

De totale aan Noord-Korea toegeschreven cryptodiefstal overschrijdt nu $6 miljard sinds 2017, op basis van TRM's gegevens.

Noord-Korea's aandeel in cryptodiefstal is elk jaar gestegen sinds 2020

De gegevens van TRM tonen dat Noord-Korea's aandeel in de totale verliezen door cryptohacks is gestegen van minder dan 10% in 2020 en 2021 naar 22% in 2022, 37% in 2023, 39% in 2024 en 64% in 2025. Het cijfer van 76% voor 2026 tot nu toe is het hoogste aanhoudende aandeel dat TRM heeft geregistreerd.

De sprong in 2025 werd vrijwel volledig veroorzaakt door het Bybit-lek in februari van dat jaar, waarbij $1,46 miljard werd gestolen uit een cold wallet via een gecompromitteerde Safe{Wallet}-ondertekeningsinterface. TRM stelde dat Bybit de grootste enkelvoudige cryptohack in de geschiedenis blijft.

Het aanvalsritme is niet veranderd. TRM stelde dat Noord-Koreaanse hackteams elk jaar een klein aantal nauwkeurig gerichte operaties blijven uitvoeren in plaats van een grootschalige campagne.

Volgens TRM-analisten is wat wel veranderd is de verfijning van de operaties. Het rapport stelde dat analisten zijn begonnen te speculeren dat Noord-Koreaanse operatoren AI-tools integreren in verkennings- en social engineering-workflows, wat consistent is met de Drift-aanval, die weken van gerichte manipulatie van complexe blockchainmechanismen vereiste in plaats van de eenvoudige compromittering van privésleutels waarop Noord-Korea historisch gezien heeft vertrouwd.

Drift Protocol-hack putte $285 miljoen leeg na maanden van social engineering

TRM schreef de Drift-aanval toe aan een Noord-Koreaanse groep die het beoordeelt als onderscheiden van TraderTraitor, een staatsgerelateerde Noord-Koreaanse dreigingsactor die bekend staat om het richten op cryptobedrijven via social engineering. De specifieke subgroep is nog onder onderzoek.

De campagne begon maanden voor de diefstal en omvatte persoonlijke ontmoetingen tussen Noord-Koreaanse tussenpersonen en Drift-medewerkers, waarvan TRM stelde dat dit mogelijk ongekend is in de geschiedenis van Noord-Korea's cryptohacking. De on-chain voorbereiding begon op 11 maart met een opname van 10 ETH uit Tornado Cash.

De aanval maakte gebruik van een Solana-functie genaamd een durable nonce, die het geldigheidsvenster van een vooraf ondertekende transactie uitbreidt van ongeveer 90 seconden tot onbepaald. Tussen 23 maart en 30 maart bracht de aanvaller de multisig-ondertekenaars van Drift's Security Council ertoe transacties vooraf te autoriseren met behulp van durable nonces. Op 27 maart migreerde Drift zijn Security Council naar een 2/5-drempelconfiguratie met nul timelock, wat de aanvaller later exploiteerde.

Tegelijkertijd fabriceerde de aanvaller een token genaamd CarbonVote Token (CVT), voorzag het van liquiditeit en blies de prijs op via wash trading. De oracles van Drift behandelden CVT als legitiem onderpand.

Op 1 april werden de vooraf ondertekende transacties uitgezonden. TRM stelde dat 31 opnames werden uitgevoerd in ongeveer 12 minuten, waarbij USDC, JLP (het Jupiter liquiditeitsverschaffertoken) en andere activa werden geleegd. Het grootste deel van de fondsen werd binnen uren naar Ethereum gebrugd en is sindsdien niet meer bewogen.

KelpDAO verloor $292 miljoen door een enkele verificateur LayerZero-fout

Het KelpDAO-lek op 18 april richtte zich op de rsETH LayerZero-brug van het project op Ethereum. rsETH is KelpDAO's liquid restaking-token, dat ETH vertegenwoordigt dat opnieuw is gestaked over meerdere protocollen.

Volgens TRM compromitteerden de aanvallers twee interne RPC-nodes en wisselden de nodesoftware uit om ze valse blockchaingegevens te laten rapporteren. Vervolgens lanceerden ze een DDoS-aanval op externe niet-gecompromitteerde RPC-nodes, waardoor de verificateur van de brug gedwongen werd over te schakelen naar de twee vergiftigde interne nodes.

De vergiftigde nodes rapporteerden ten onrechte dat rsETH was verbrand op de bronchain, ook al had er geen verbranding plaatsgevonden. De enkele verificateur bevestigde het frauduleuze cross-chain bericht als legitiem, en de aanvaller putte ongeveer 116.500 rsETH ter waarde van ongeveer $292 miljoen leeg uit het brugcontract.

TRM stelde dat de single-DVN (Decentralized Verifier Network)-configuratie de bepalende kwetsbaarheid is. LayerZero ondersteunt het configureren van meerdere onafhankelijke verificateurs voor cross-chain validatie, maar de rsETH-implementatie van KelpDAO gebruikte alleen de LayerZero Labs DVN. Omdat er geen tweede verificateur nodig was om in te stemmen, was één vergiftigde gegevensbron voldoende.

TRM schreef de exploit toe aan Noord-Korea op basis van on-chain analyse van zowel de voorfinanciering als het witwassen. Een deel van de initiële financiering was te herleiden naar een Bitcoin-wallet uit 2018, beheerd door Wu Huihui, een Chinese cryptomakelaar die in 2023 werd aangeklaagd voor het witwassen van diefstallen door Lazarus Group, de aan de Noord-Koreaanse staat gelinkte hackeenheid achter enkele van de grootste cryptoexploits ooit. Andere fondsen waren afkomstig van de BTCTurk-hack, een andere recente TraderTraitor-diefstal.

Drift- en KelpDAO-hacks onthullen verschillende cryptowitwasstrategieën

Drift en KelpDAO demonstreren verschillende witwasbenaderingen die zijn gevormd door verschillende operationele omstandigheden.

Voor Drift werden de gestolen tokens omgezet naar USDC via Jupiter, gebrugd naar Ethereum, omgewisseld naar ETH en verdeeld over nieuwe wallets. De fondsen zijn niet meer bewogen sinds de dag van de diefstal. De verantwoordelijke groep volgt een gedocumenteerd Noord-Koreaans patroon van het vasthouden van opbrengsten gedurende maanden of jaren voordat een gestructureerde uitbetaling wordt uitgevoerd.

KelpDAO ging de andere kant op. De TraderTraitor-hackers lieten ongeveer 30.766 ETH achter op Arbitrum, en de Arbitrum Security Council gebruikte noodbevoegdheden om ongeveer $75 miljoen daarvan te bevriezen. De bevriezing veroorzaakte een snelle witwasspurt.

Ongeveer $175 miljoen aan niet-bevroren ETH werd omgewisseld naar Bitcoin, voornamelijk via THORChain, een cross-chain liquiditeitsprotocol zonder KYC-vereiste. Umbra, een Ethereum-privacytool, werd gebruikt om sommige walletverbanden te verhullen vóór de conversie. TRM stelde dat de lopende witwasfase vrijwel volledig wordt afgehandeld door Chinese tussenpersonen in plaats van de Noord-Koreanen zelf.

THORChain verwerkte het grootste deel van de opbrengsten van zowel het Bybit-lek van 2025 als de KelpDAO-hack van 2026, waarbij honderden miljoenen gestolen ETH werden omgezet naar Bitcoin zonder tussenkomst van een operator. In 2025 werden de meeste gestolen Bybit-fondsen omgezet van ETH naar BTC via THORChain tussen 24 februari en 2 maart. KelpDAO volgde hetzelfde draaiboek in april 2026.

De ontwikkelaars en validators van THORChain hebben gesteld dat het protocol gedecentraliseerd is zonder centrale operator en dat het geen transacties kan afwijzen. Recente uitspraken op X door projectleden suggereren dat dit niet het geval is, of niet altijd het geval is geweest.

Wat TRM zegt dat complianceteams moeten monitoren

Het rapport noemde vier monitoringprioriteiten voor beurzen en DeFi-protocollen.

Beurzen die BTC-instromen ontvangen van THORChain-pools moeten screenen op bekende KelpDAO- en Lazarus Group-adresclusters. De attributie voor specifieke KelpDAO-adressen is nog gaande, en TRM adviseerde stortingen na 30 dagen opnieuw te screenen, omdat de attributie voor aan KelpDAO gelinkte adressen nog wordt afgerond.

Protocollen die gebruikmaken van Solana Security Council multisig met durable nonce-autorisatie moeten het Drift-incident behandelen als een sjablonaanval die zal worden herhaald, omdat het zich richtte op governance-infrastructuur in plaats van applicatielogica.

Screening van eerste-hop-adressen alleen zal fondsen die via tussenliggende wallets zijn gegaan voordat ze een beurs bereiken niet onderscheppen. Zowel KelpDAO als Bybit omvatten brug- of cross-chain-infrastructuur, en TRM stelde dat multi-hop-analyse vereist is.

TRM wees ook op zijn Beacon Network, dat meer dan 30 leden heeft, waaronder Coinbase, Binance, Kraken, OKX en Crypto.com, en dat gemarkeerde aanvallersadressen in realtime automatisch traceert wanneer aan Noord-Korea gelinkte fondsen een deelnemende instelling bereiken.