Έκθεση για το 2026 του 2026 για το Crypto Hacking στη Βόρεια Κορέα: Γιατί τα Drift Protocol και KelpDAO Exploits οδήγησαν στο 76% των απωλειών

Λέξεις-κλειδιά:

• Οι βορειοκορεάτες δρώντες προτιμούν πλέον χειρουργικά χτυπήματα με υψηλό αντίκτυπο σε γέφυρες και διακυβέρνηση, οδηγώντας στο 76% όλων των παγκόσμιων απωλειών από κρυπτονομίσματα στις αρχές του 2026. 
• Υποομάδες όπως το TraderTraitor συγχωνεύουν την κοινωνική μηχανική με το σαμποτάζ υποδομών, όπως αποδεικνύεται από τα exploits Drift και KelpDAO αξίας 577 εκατομμυρίων δολαρίων.
• Η αντιμετώπιση αυτών των απειλών ακριβείας απαιτεί μια μετάβαση από τις στατικές μαύρες λίστες σε KYT σε πραγματικό χρόνο και αναλυτικά στοιχεία για την ανίχνευση σταδιοποίησης και το πάγωμα σημείων εξόδου πριν εξαφανιστούν τα κεφάλαια.

Η βιομηχανία ψηφιακών περιουσιακών στοιχείων έχει φτάσει σε μια ανατριχιαστική συνειδητοποίηση το 2026. Ο κυβερνοπόλεμος που χρηματοδοτείται από το κράτος έχει μετατραπεί από επίμονο θόρυβο υποβάθρου στον κύριο παράγοντα των παγκόσμιων απωλειών κρυπτονομισμάτων. 

Πρόσφατα ευρήματα από Εργαστήρια TRM έριξαν φως σε μια εκπληκτική τάση. Μόνο κατά τους πρώτους τέσσερις μήνες του 2026, οι βορειοκορεατικές ομάδες χάκερ ήταν υπεύθυνες για 76% όλων χακάρισμα κρυπτονομισμάτων απώλειες παγκοσμίωςΕνώ ο συνολικός αριθμός περιστατικών παραμένει χαμηλός, η ακρίβεια και η έκτασή τους είναι πρωτοφανείς, με τις σωρευτικές κλοπές από το 2017 να ξεπερνούν πλέον τις $ 6 δισ. σημάδι.

Το Νέο Εγχειρίδιο: Ακρίβεια έναντι Συχνότητας

Για χρόνια, η αφήγηση γύρω από τις βορειοκορεατικές χακερ επικεντρωνόταν στον όγκο των επιθέσεων. Σήμερα, τα δεδομένα αποκαλύπτουν μια τακτική εξέλιξη. Αντί να ρίξουν ένα ευρύ δίχτυ, οι ελίτ ομάδες εκτελούν μια χούφτα χειρουργικών επεμβάσεων υψηλού αντίκτυπου. 

Τον Απρίλιο του 2026, μόνο δύο περιστατικά—το Πρωτόκολλο Drift επίθεση και το KelpDAO εκμετάλλευση—λογοδοτήθηκε $ 577 εκατομμύρια σε απώλειες. Αυτά τα δύο γεγονότα αντιπροσώπευαν μόνο το 3% των συνολικών περιστατικών hacking για το έτος, αλλά οδήγησαν σε περισσότερο από τα τρία τέταρτα της συνολικής απώλειας αξίας. Αυτή η μετατόπιση σηματοδοτεί μια κίνηση προς στόχους υψηλής πολυπλοκότητας: γέφυρες διασταυρούμενων αλυσίδων και συστήματα διακυβέρνησης πολλαπλών υπογραφών.

The Drift Protocol Heist: Ένα Masterclass στην Κοινωνική Μηχανική

Η κλοπή των 285 εκατομμυρίων δολαρίων από το Drift Protocol ήταν ένα αριστούργημα στο... διείσδυση σε εταιρικό επίπεδο. 

Η Διείσδυση: Το Ανθρώπινο Στοιχείο 

Για μήνες, άτομα που παρίσταντο ως νόμιμοι προγραμματιστές και θεσμικοί συνεργάτες έχτιζαν σχέσεις με την ομάδα Drift. Αυτοί οι πληρεξούσιοι ήταν τεχνικά άψογοι και άκρως επαγγελματίες, επιτρέποντάς τους να ενσωματωθούν στον κοινωνικό ιστό του πρωτοκόλλου. Μέχρι να ξεκινήσει η τεχνική επίθεση, οι επιτιθέμενοι είχαν ήδη την εμπιστοσύνη των ίδιων των ανθρώπων που προορίζονταν να φυλάνε το θησαυροφυλάκιο.

Φάση 1: Δημιουργία του Phantom Asset (11 Μαρτίου) 

Η ψηφιακή σταδιακή εφαρμογή ξεκίνησε επίσημα στις 11 Μαρτίου. Ακριβώς στις 9:00 π.μ. ώρα Πιονγιάνγκ, οι επιτιθέμενοι μετέφεραν 10 ETH από την Tornado Cash για να χρηματοδοτήσουν την υποδομή τους. Η πρώτη τους κίνηση ήταν να «γεννήσουν» ένα πλασματικό περιουσιακό στοιχείο που ονομάζεται CarbonVote Token (CVT).

Για έναν εξωτερικό παρατηρητή, το CVT έμοιαζε με ένα αναπτυσσόμενο έργο. Οι επιτιθέμενοι έσπειραν μερικές χιλιάδες δολάρια σε δεξαμενές ρευστότητας στο Raydium και χρησιμοποίησαν bots wash-trading για να δημιουργήσουν ένα ψεύτικο ιστορικό όγκου. Πέρασαν εβδομάδες κατασκευάζοντας μια «τιμή αγοράς» περίπου 1.00 δολαρίου. Οι χρησμοί τιμών του Drift - απροετοίμαστοι για ένα χειραγωγημένο περιουσιακό στοιχείο με μηδενική πραγματική χρησιμότητα - εντόπισαν αυτό το σήμα και άρχισαν να αντιμετωπίζουν το CVT ως νόμιμη εγγύηση.

Φάση 2: Η παγίδα «ανθεκτική μηδενική δόση» (23–30 Μαρτίου) 

Οι επιτιθέμενοι επικεντρώθηκαν σε ένα χαρακτηριστικό του Σολάνα που ονομάζεται ανθεκτικά noncesΣυνήθως, μια συναλλαγή Solana λήγει σε περίπου 90 δευτερόλεπτα. Ένα διαρκές nonce επιτρέπει την προ-υπογραφή μιας συναλλαγής και την απεριόριστη διατήρησή της για μετάδοση αργότερα. Χρησιμοποιώντας την κοινωνική τους θέση, οι εισβολείς έπεισαν τα μέλη του Συμβουλίου Ασφαλείας του Drift να προ-υπογράψουν αυτό που φαινόταν να είναι συνήθεις διοικητικές συναλλαγές. Στην πραγματικότητα, αυτές ήταν «λευκές επιταγές». Επειδή υπογράφηκαν με διαρκή nonce, οι εισβολείς διατήρησαν αυτές τις εξουσιοδοτήσεις σαν φορτωμένα ελατήρια.

Φάση 3: Η μοιραία αλλαγή διαμόρφωσης (27 Μαρτίου) 

Στις 27 Μαρτίου, ο Drift έκανε μια στρατηγική κίνηση που μετέτρεψε έναν κίνδυνο σε καταστροφή. Το πρωτόκολλο μετέφερε το Συμβούλιο Ασφαλείας του σε μια νέα διαμόρφωση κατωφλίου 2/5 και έθεσε το χρονοδιακόπτης στο μηδένΣτα περισσότερα πρωτόκολλα DeFi, ένα «χρονικό κλείδωμα» λειτουργεί ως περίοδος αναμονής, επιτρέποντας στην κοινότητα να επιθεωρήσει και να «σταματήσει» μια ενέργεια. Αφαιρώντας το, η Drift εξάλειψε το μόνο χρονικό παράθυρο που είχαν για να εντοπίσουν μια δόλια συναλλαγή πριν αυτή οριστικοποιηθεί.

Φάση 4: Η 12λεπτη Εκτέλεση (1 Απριλίου) 

Την 1η Απριλίου, οι επιτιθέμενοι κινήθηκαν με τρομακτική ταχύτητα:

1. Η κατάθεση: Κατέθεσαν εκατοντάδες εκατομμύρια «άχρηστα» CVT tokens στο Drift.
2. Η χειραγώγηση: Επειδή τα oracles πίστευαν ότι το CVT άξιζε 1.00 δολάρια, το σύστημα είδε μια μαζική εισροή εξασφαλίσεων.
3. Η αποχέτευση: Χρησιμοποιώντας τις προεγκεκριμένες «λευκές επιταγές» του Μαρτίου, αύξησαν αμέσως τα όρια ανάληψης.

Σε μόλις 12 λεπτά, εκτέλεσαν 31 προ-υπογεγραμμένες αναλήψεις, δανειζόμενοι πραγματικά περιουσιακά στοιχεία όπως USDC και JLP έναντι πλαστών εγγυήσεων. Τα κεφάλαια συνδέθηκαν με το Ethereum πριν προλάβει να αντιδράσει η ομάδα Drift.

Το Εκμεταλλευτικό Έργο του KelpDAO: Σαμποτάζ στην Υποδομή της Γέφυρας

Ενώ το hack του Drift βασιζόταν στην κοινωνική μηχανική, το $ 292 εκατομμύρια Η εκμετάλλευση του KelpDAO ήταν μια τεχνική επίθεση εναντίον του υποδομή διασταυρούμενης υδραυλικής αλυσίδας.

Η ευπάθεια: Η αδυναμία του μοναδικού επαληθευτή 

Η KelpDAO χρησιμοποίησε μια γέφυρα LayerZero για το διακριτικό rsETH. Για εξοικονόμηση κόστους ή πολυπλοκότητας, η γέφυρα διαμορφώθηκε με σχεδιασμό "μονού επαληθευτή". Αυτό σήμαινε ότι ολόκληρο το σύστημα βασιζόταν σε μία πηγή αλήθειας - το Αποκεντρωμένο Δίκτυο Επαληθευτών (DVN) της LayerZero Labs - για να επιβεβαιώσει ότι τα περιουσιακά στοιχεία είχαν μετακινηθεί ή καεί. Δεν υπήρχε δεύτερη γνώμη.

Η Ρύθμιση: Δηλητηριάζοντας το Πηγάδι 

Οι επιτιθέμενοι εντόπισαν και παραβίασαν δύο από τους εσωτερικούς κόμβους RPC του KelpDAO. Οι κόμβοι RPC είναι ουσιαστικά τα «αυτιά» μιας εφαρμογής blockchain. Λένε στο λογισμικό τι συμβαίνει στο δίκτυο. Μόλις εισέβαλαν μέσα, οι χάκερ αντικατέστησαν το λογισμικό του κόμβου με μια «δηλητηριασμένη» έκδοση. Αυτή η έκδοση ήταν προγραμματισμένη να λέει ψέματα, αναφέροντας ότι το rsETH είχε καεί στην αλυσίδα πηγής, ακόμη και όταν δεν υπήρχε τέτοια συναλλαγή.

Η Εκτέλεση: Το DDoS και η Ανακατεύθυνση (18 Απριλίου) 

Στις 18 Απριλίου, οι επιτιθέμενοι εξαπέλυσαν μια μαζική επίθεση Distributed Denial of Service (DDoS) εναντίον των υγιών, εξωτερικών κόμβων RPC που συνήθως άκουγε η γέφυρα. Καθώς οι υγιείς κόμβοι έπεφταν σε κατάσταση αδράνειας, ο επαληθευτής της γέφυρας ακολούθησε το πρωτόκολλο ασφαλείας του: «απέτυχε» στους μόνους κόμβους που εξακολουθούσαν να ανταποκρίνονται - τους παραβιασμένους εσωτερικούς.

Οι δηλητηριασμένοι κόμβοι τροφοδότησαν τον επαληθευτή με μια ψευδή αφήγηση. Ο επαληθευτής, βλέποντας «απόδειξη» από τη μόνη διαθέσιμη πηγή του, επιβεβαίωσε το δόλιο μήνυμα cross-chain. Αυτό επέτρεψε στους επιτιθέμενους να αδειάσουν. 116,500 rsETH από το συμβόλαιο γέφυρας Ethereum.

Το Scramble: Μια ακατάστατη απόδραση 

Σε αντίθεση με τους ήρεμους επιτιθέμενους του Drift, η ομάδα KelpDAO—που αναγνωρίστηκε ως η Έμπορος Προδότης υποομάδα—έκαναν λάθη. Άφησαν 75 εκατομμύρια δολάρια σε ETH στο Arbitrum, ένα κεντρικό Επίπεδο 2. Αυτό έδωσε στο Συμβούλιο Ασφαλείας του Arbitrum αρκετό χρόνο για να ασκήσει εξουσίες έκτακτης ανάγκης και να παγώσει τα κεφάλαια.

Το πάγωμα πυροδότησε μια «τρελή αναταραχή». Οι χάκερ μετέφεραν απεγνωσμένα τα υπόλοιπα 175 εκατομμύρια δολάρια μέσω THOR Αλυσίδα, ανταλλάσσοντας το ETH με Bitcoin το συντομότερο δυνατό. Αυτή η φάση χειρίστηκαν σε μεγάλο βαθμό Κινέζοι μεσάζοντες, γεγονός που δείχνει ένα κατακερματισμένο αλλά αποτελεσματικό δίκτυο ξεπλύματος χρήματος.

Ο κρίσιμος ρόλος του KYT και των Blockchain Analytics

Αυτές οι επιθέσεις αποτελούν μια θεμελιώδη πρόκληση για την ακεραιότητα του οικοσυστήματος κρυπτονομισμάτων του 2026. Οι στατικές μαύρες λίστες δεν επαρκούν πλέον όταν οι κρατικοί φορείς μπορούν να περιμένουν μήνες για να μετακινήσουν κλεμμένα περιουσιακά στοιχεία. Εδώ είναι που... Γνωρίστε τη Συναλλαγή σας (KYT) προηγμένες αναλυτικά στοιχεία blockchain γίνουν απαραίτητοι αμυντικοί μηχανισμοί.

• Ειδοποίηση σε πραγματικό χρόνο: Τα δίκτυα ειδοποιήσεων επιτρέπουν άμεσες ειδοποιήσεις σε διάφορες πλατφόρμες. Όταν εντοπιστεί μια διεύθυνση που συνδέεται με τη Βόρεια Κορέα, τα ιδρύματα ειδοποιούνται σε λίγα λεπτά, όχι σε ημέρες, με αποτέλεσμα να σταματά ενδεχομένως μια ανάληψη πριν αυτή εκκαθαριστεί.
• Απόδοση Multi-Hop: Ο απλός έλεγχος «πρώτου βήματος» παρακάμπτεται εύκολα. Τα σύγχρονα αναλυτικά στοιχεία παρακολουθούν τα κεφάλαια μέσω δεκάδων ενδιάμεσων πορτοφολιών και πολλαπλών γεφυρών, προσδιορίζοντας την «αληθινή» πηγή πλούτου.
• Παρακολούθηση της υγιεινής της γέφυρας: Όπως φάνηκε στην επίθεση Drift, η ευπάθεια βρισκόταν στη διακυβέρνηση και στη διαμόρφωση πολλαπλών υπογραφών. Τα εργαλεία ανάλυσης βοηθούν πλέον τις εταιρείες να παρακολουθούν την εύρυθμη λειτουργία και τη συμπεριφορά των πρωτοκόλλων με τα οποία αλληλεπιδρούν, επισημαίνοντας ύποπτες προ-υπογεγραμμένες συναλλαγές ή αλλαγές στις ρυθμίσεις χρονικού κλειδώματος.

Ασφαλίστε την υποδομή σας με το ChainUp KYT

Ο κλάδος δεν μπορεί να βασίζεται μόνο στη μονιμότητα της ασφάλειας του blockchain. Καθώς οι χάκερ γίνονται πιο υπομονετικοί και εξελιγμένοι, τα αμυντικά εργαλεία πρέπει να γίνουν πιο προληπτικά.

ChainUp KYT παρέχει την παρακολούθηση θεσμικού επιπέδου που είναι απαραίτητη για την πλοήγηση στο τοπίο των απειλών του 2026. Η λύση μας υπερβαίνει την απλή μαύρη λίστα, προσφέροντας:

• Παρακολούθηση συναλλαγών σε πραγματικό χρόνο: Εντοπίστε και επισημάνετε ύποπτες ροές τη στιγμή που πλήττουν την αλυσίδα, επιτρέποντας άμεση παρέμβαση πριν από την εκκαθάριση των αναλήψεων.
• Προηγμένη Ανίχνευση Πολλαπλών Άλμάτων: Δείτε πέρα ​​από τα «άλματα» και τα ενδιάμεσα πορτοφόλια για να εντοπίσετε κεφάλαια που προέρχονται από βορειοκορεατικά clusters και bridge exploits.
• Ειδοποιήσεις Διακυβέρνησης Πρωτοκόλλου: Παρακολουθήστε την εύρυθμη λειτουργία των πρωτοκόλλων και των γεφυρών DeFi με τις οποίες αλληλεπιδράτε, λαμβάνοντας ειδοποιήσεις για επικίνδυνες αλλαγές διαμόρφωσης ή ασυνήθιστη δραστηριότητα πολλαπλών υπογραφών.
• Απρόσκοπτη ενσωμάτωση συμμόρφωσης: Σχεδιασμένο για χρηματιστηριακούς φορείς και θεσμικούς παράγοντες που απαιτούν ακριβή, κλινικά δεδομένα για να πληρούν τα παγκόσμια κανονιστικά πρότυπα.

Μην περιμένετε τα επόμενα 12 λεπτά εξάντλησης για να συνειδητοποιήσετε ότι οι άμυνές σας είναι ξεπερασμένες. Κλείστε μια επίδειξη με το ChainUp σήμερα για να δείτε πώς οι λύσεις KYT μας μπορούν να ενισχύσουν την υποδομή σας έναντι των πιο εξελιγμένων απειλών του κλάδου.