Skýrsla um dulritunarárásir í Norður-Kóreu 2026: Af hverju Drift Protocol og KelpDAO misnotkun ollu 76% af tapi

Lykilatriði:

• Norðurkóreskir aðilar eru nú hlynntir öflugum skurðaðgerðarárásum á brýr og stjórnarhætti, sem olli 76% af öllum tapum vegna dulritunarárása í heiminum í byrjun árs 2026. 
• Undirhópar eins og TraderTraitor eru að sameina félagslega verkfræði og skemmdarverk á innviðum, eins og sést af 577 milljóna dollara árásunum á Drift og KelpDAO.
• Til að sporna við þessum nákvæmu ógnum þarf að færa sig frá kyrrstæðum svartlistum yfir í rauntíma KYT og greiningar til að greina stig og frysta útgöngustaði áður en fjármagn hverfur.

Stafræna eignaiðnaðurinn hefur náð ógnvekjandi uppgötvun árið 2026. Ríkisstyrkt netstríð hefur færst úr viðvarandi bakgrunnshljóði yfir í aðal drifkraft taps á heimsvísu í dulritunargjaldmiðlum. 

Nýlegar niðurstöður frá TRM rannsóknarstofur varpa ljósi á ótrúlega þróun. Á fyrstu fjórum mánuðum ársins 2026 einum saman báru tölvuþrjótahópar Norður-Kóreu ábyrgð á 76% af öllum dulritunargjaldmiðilshakk tap á heimsvísuÞó að heildarfjöldi atvika sé enn lágur, er nákvæmni þeirra og umfang fordæmalaus, þar sem uppsafnaður þjófnaður frá árinu 2017 hefur nú farið fram úr $ 6 milljarða merkja.

Nýja leikbókin: Nákvæmni frekar en tíðni

Í mörg ár einblíndi frásögnin af tölvuárásum Norður-Kóreu á fjölda þeirra. Í dag sýna gögnin þróun í taktík. Í stað þess að varpa breiðu neti eru úrvalshópar að framkvæma fáar áhrifamiklar skurðaðgerðir. 

Í apríl 2026 áttu sér stað aðeins tvö atvik—það Drift bókun árás og KelpDAO nýta sér - gert grein fyrir $ 577 milljónir í tapi. Þessir tveir atburðir stóðu aðeins fyrir 3% af heildarfjölda tölvuárása á árinu en ollu meira en þremur fjórðu af heildarvirðistapinu. Þessi breyting gefur til kynna að markmiðum sé stefnt að flóknari kerfum: keðjubrýr og stjórnkerfi fyrir marga undirskriftir.

Ránið á Drift Protocol: Meistaranámskeið í félagsverkfræði

285 milljóna dollara þjófnaðurinn frá Drift Protocol var meistaranámskeið í innrás á fyrirtækjastigi. 

Innrásin: Mannlegi þátturinn 

Í marga mánuði byggðu einstaklingar sem þóttust vera löglegir forritarar og stofnanasamstarfsaðilar upp tengsl við Drift-teymið. Þessir umboðsmenn voru tæknilega vel að sér og mjög fagmannlegir, sem gerði þeim kleift að festa sig í sessi í samfélagsvef samskiptareglnanna. Þegar tæknilega árásin hófst höfðu árásarmennirnir þegar notið trausts þeirra sem áttu að gæta geymslunnar.

1. áfangi: Að skapa draugalega eignina (11. mars) 

Stafræna sviðsetningin hófst formlega 11. mars. Klukkan nákvæmlega 9:00 að morgni í Pyongyang færðu árásarmennirnir 10 ETH frá Tornado Cash til að fjármagna innviði sína. Fyrsta skref þeirra var að „fæða“ uppspunna eign sem kallast CarbonVote Token (CVT).

Fyrir utanaðkomandi leit CVT út fyrir að vera vaxandi verkefni. Árásarmennirnir sáðu nokkrum þúsund dollurum í lausafjársjóði á Raydium og notuðu „wash-trading“ vélmenni til að búa til falska sögu um veltu. Þeir eyddu vikum í að framleiða „markaðsverð“ upp á um það bil $1.00. Verðspámenn Drifts – sem voru ekki undirbúnir fyrir misnotaða eign með engu raunverulegu gagni – tóku eftir þessu merki og fóru að meðhöndla CVT sem lögmætt veð.

2. áfangi: Gildran „varanlegt svik“ (23.–30. mars) 

Árásarmennirnir einbeittu sér að Solana-virki sem kallast endingargóðar nonsensurVenjulega rennur Solana-færsla út á um 90 sekúndum. Varanlegt nonce-gildi gerir kleift að undirrita færslu fyrirfram og geyma hana ótímabundið til að birta síðar. Með því að nota félagslega stöðu sína fengu árásarmennirnir öryggisráðsmenn Drift til að undirrita fyrirfram það sem virtist vera venjubundnar stjórnsýslufærslur. Í raun voru þetta „auðir ávísanir“. Þar sem þær voru undirritaðar með varanlegum nonce-gildum héldu árásarmennirnir í þessar heimildir eins og hlaðnar gorma.

3. áfangi: Banvæn stillingarbreyting (27. mars) 

Þann 27. mars gerði Drift stefnumótandi aðgerð sem breytti áhættu í stórslys. Samskiptareglurnar færðu Öryggisráð sitt yfir í nýja 2/5 þröskuldsstillingu og settu ... tímalás á núllÍ flestum DeFi samskiptareglum virkar „tímalás“ sem kælingartími, sem gerir samfélaginu kleift að skoða og „stöðva“ aðgerð. Með því að fjarlægja hann útrýmdi Drift eina tímaglugganum sem þeir höfðu til að uppgötva sviksamlega færslu áður en hún varð endanleg.

4. áfangi: 12 mínútna framkvæmdin (1. apríl) 

Þann 1. apríl fóru árásarmennirnir fram með ógnvekjandi hraða:

1. Innborgunin: Þeir lögðu hundruð milljóna „verðlausra“ CVT-tákna inn í Drift.
2. Meðferðin: Þar sem spámenn töldu að CVT væri virði 1.00 dollara, varð kerfið vitni að miklum straumi veðs.
3. Niðurfallið: Með því að nota fyrirfram heimilaða „auða ávísanir“ frá mars hækkuðu þeir úttektarmörk samstundis.

Í bara 12 mínútur, framkvæmdu þeir 31 fyrirfram undirritaða úttekt, þar sem þeir tóku lán á raunverulegum eignum eins og USDC og JLP gegn fölsuðum veðum. Fjármagnið var millifært yfir í Ethereum áður en Drift-teymið gat brugðist við.

KelpDAO-árásin: Að spilla fyrir brúarinnviðunum

Þó að Drift hakkið byggði á félagslegri verkfræði, þá $ 292 milljónir KelpDAO-nýtingin var tæknileg árás gegn innviði pípulagnakerfis þverfaglegra keðja.

Veikleiki: Veikleiki eins staðfestingaraðila 

KelpDAO notaði LayerZero brú fyrir rsETH táknið sitt. Til að spara kostnað eða flækjustig var brúin stillt með „einum sannprófara“ hönnun. Þetta þýddi að allt kerfið treysti á eina sannleiksuppsprettu - LayerZero Labs Decentralized Verifier Network (DVN) - til að staðfesta að eignir hefðu verið færðar eða brenndar. Það var engin önnur skoðun.

Uppsetningin: Að eitra brunninn 

Árásarmennirnir fundu og brjóttu inn tvo innri RPC-hnúta KelpDAO. RPC-hnútar eru í raun „eyru“ blockchain-forrits. Þeir segja hugbúnaðinum hvað er að gerast á netinu. Þegar tölvuþrjótarnir voru komnir inn í kerfið skiptu þeir hugbúnaði hnútans út fyrir „eitraða“ útgáfu. Þessi útgáfa var forrituð til að ljúga og greindi frá því að rsETH hefði verið brennt á upprunakeðjunni jafnvel þótt engin slík færsla væri til staðar.

Framkvæmdin: DDoS og yfirfærslan (18. apríl) 

Þann 18. apríl hófu árásarmennirnir umfangsmikla DDoS-árás (e. Distributed Denial of Service) gegn heilbrigðum, ytri RPC-hnútum sem brúin hlustaði venjulega á. Þegar heilbrigðu hnútarnir urðu óvirkir fylgdi sannprófari brúarinnar öryggisreglum sínum: hann „failedover“ yfir á einu hnútana sem enn svöruðu - þá innri hnúta sem voru í hættu.

Eitraðir hnútar gáfu sannprófandanum falska frásögn. Sannprófandinn, sem sá „sönnun“ frá einu tiltæku heimildinni, staðfesti sviksamleg skilaboð milli keðjunnar. Þetta gerði árásarmönnum kleift að tæma 116,500 rsETH frá Ethereum brúarsamningnum.

The Scramble: Óreiðukennd flótti 

Ólíkt rólegu árásarmönnum Drift, KelpDAO hópurinn—sem er skilgreindur sem KaupmaðurSvikari undirhópur — gerði mistök. Þeir skildu eftir 75 milljónir dala í ETH á Arbitrum, miðstýrðu lagi 2. Þetta gaf öryggisráði Arbitrum nægan tíma til að beita neyðarvaldi og frysta fjármagnið.

Frystingin hleypti af stað „brjálæðislegu áhlaupi“. Tölvuþrjótarnir færðu af stað eftirstandandi 175 milljónir dala í gegnum THORChain, að skipta ETH fyrir Bitcoin eins hratt og mögulegt var. Þessu stigi var að mestu leyti sinnt af kínverskum milliliðum, sem sýndi sundrað en skilvirkt net fyrir peningaþvott.

Mikilvægt hlutverk KYT og Blockchain Analytics

Þessar árásir eru grundvallaráskorun fyrir heilindi dulritunarvistkerfisins árið 2026. Stöðugir svartir listar eru ekki lengur nægir þegar ríkisaðilar geta beðið í marga mánuði eftir að flytja stolnar eignir. Þetta er þar sem Þekktu viðskipti þín (KYT) og háþróaður blockchain greining verða nauðsynleg varnarkerfi.

• Viðvaranir í rauntíma: Viðvörunarnet gera kleift að fá tafarlausar viðvaranir á mörgum kerfum. Þegar heimilisfang tengt Norður-Kóreu er greint, fá stofnanir tilkynningu innan nokkurra mínútna, ekki daga, sem gæti hugsanlega stöðvað úttekt áður en hún er í gegn.
• Fjölhoppseignun: Einfaldri „fyrstu-hopp“ skimun er auðvelt að komast hjá. Nútíma greiningar rekja fjármuni í gegnum tugi milliliðaveskis og yfir margar brýr og bera kennsl á „sönnu“ uppsprettu auðs.
• Eftirlit með brúarhreinlæti: Eins og sást í Drift-árásinni var veikleikinn í stjórnunar- og fjölundirskriftarstillingum. Greiningartól hjálpa fyrirtækjum nú að fylgjast með heilsu og hegðun samskiptareglna sem þau hafa samskipti við, með því að flagga grunsamlegar fyrirfram undirritaðar færslur eða breytingar á tímalásstillingum.

Tryggðu innviði þína með ChainUp KYT

Iðnaðurinn getur ekki treyst eingöngu á varanleika öryggis blockchain-tækni. Þar sem tölvuþrjótar verða þolinmóðari og fullkomnari verða varnartæki að verða fyrirbyggjandi.

ChainUp KYT veitir nauðsynlegt eftirlit á stofnanastigi til að sigla í gegnum ógnarlandslagið árið 2026. Lausn okkar fer lengra en hefðbundin svartalistagerð og býður upp á:

• Rauntíma viðskiptavöktun: Greina og merkja grunsamleg flæði um leið og þau lenda í keðjunni, sem gerir kleift að grípa inn í tafarlaust áður en úttektir ganga í gegn.
• Ítarleg fjölhoppsrakningar: Sjáðu framhjá „humlum“ og milliveskjum til að bera kennsl á fjármuni sem eiga uppruna sinn í norðurkóreskum klasa og brúarárásum.
• Viðvaranir um stjórnun samskiptareglna: Fylgstu með heilsu DeFi-samskiptareglna og brúa sem þú hefur samskipti við og fáðu tilkynningar um áhættusamar stillingarbreytingar eða óvenjulega fjölundirskriftarvirkni.
• Óaðfinnanleg samþætting við reglufylgni: Hannað fyrir kauphallaraðila og stofnanaaðila sem þurfa skarpar, klínískar upplýsingar til að uppfylla alþjóðlegar reglugerðarstaðla.

Ekki bíða eftir næstu 12 mínútna tæmingu til að átta þig á að varnir þínar eru úreltar. Bókaðu kynningu hjá ChainUp í dag til að sjá hvernig KYT lausnir okkar geta hert innviði þína gegn flóknustu ógnum greinarinnar.