Raport o atakach hakerskich na kryptowaluty w Korei Północnej w 2026 r.: dlaczego ataki na protokół Drift i KelpDAO spowodowały 76% strat

Kluczowe dania na wynos:

• Północnokoreańscy aktorzy preferują obecnie precyzyjne ataki na mosty i władze, co na początku 2026 r. będzie odpowiadać za 76% wszystkich strat spowodowanych atakami hakerskimi na kryptowaluty na świecie. 
• Podgrupy takie jak TraderTraitor łączą inżynierię społeczną z sabotażem infrastruktury, czego dowodem są ataki na Drift i KelpDAO o wartości 577 milionów dolarów.
• Przeciwdziałanie tym precyzyjnym zagrożeniom wymaga odejścia od statycznych czarnych list na rzecz KYT w czasie rzeczywistym oraz analiz umożliwiających wykrywanie przeszkód i zamrażanie punktów wyjścia, zanim środki znikną.

Branża aktywów cyfrowych dotarła do przerażającego wniosku w 2026 roku. Cyberwojna sponsorowana przez państwo przestała być jedynie szumem informacyjnym i stała się głównym powodem globalnych strat kryptowalut. 

Ostatnie ustalenia z Laboratoria TRM rzuciły światło na oszałamiający trend. Tylko w ciągu pierwszych czterech miesięcy 2026 roku północnokoreańskie grupy hakerskie były odpowiedzialne za 76% wszystkich hack kryptowaluty straty na całym świecieChociaż całkowita liczba incydentów pozostaje niska, ich precyzja i skala są bezprecedensowe, a skumulowana liczba kradzieży od 2017 r. przekracza obecnie $ 6 mld znak.

Nowy podręcznik: precyzja ważniejsza od częstotliwości

Przez lata narracja wokół północnokoreańskich ataków hakerskich koncentrowała się na liczbie ataków. Dziś dane ujawniają ewolucję taktyki. Zamiast zarzucać szeroką sieć, elitarne grupy przeprowadzają garść skutecznych, chirurgicznych operacji. 

W kwietniu 2026 r. miały miejsce tylko dwa incydenty – Protokół dryfu atak i KelpDAO eksploatować — uwzględnione $ 577 mln w stratach. Te dwa zdarzenia stanowiły zaledwie 3% wszystkich incydentów włamań w tym roku, ale odpowiadały za ponad trzy czwarte całkowitej utraconej wartości. Ta zmiana sygnalizuje przejście w kierunku celów o wysokiej złożoności: mostów międzyłańcuchowych i systemów zarządzania multisig.

Napad na protokół Drift: Mistrzowska klasa inżynierii społecznej

Kradzież 285 milionów dolarów z Drift Protocol była mistrzowską sztuką infiltracja na poziomie korporacyjnym. 

Infiltracja: czynnik ludzki 

Przez miesiące osoby podszywające się pod legalnych deweloperów i partnerów instytucjonalnych budowały relacje z zespołem Drift. Ci proxy byli biegli technicznie i wysoce profesjonalni, co pozwoliło im wtopić się w społeczną strukturę protokołu. Zanim rozpoczął się atak techniczny, atakujący zdobyli już zaufanie osób, które miały strzec skarbca.

Faza 1: Tworzenie zasobu fantomowego (11 marca) 

Oficjalne rozpoczęcie cyfrowej inscenizacji nastąpiło 11 marca. Dokładnie o godzinie 9:00 czasu w Pjongjangu atakujący przenieśli 10 ETH z Tornado Cash, aby sfinansować swoją infrastrukturę. Ich pierwszym krokiem było „utworzenie” fikcyjnego zasobu o nazwie Token CarbonVote (CVT).

Dla osoby z zewnątrz CVT wyglądało na rozwijający się projekt. Atakujący wpompowali kilka tysięcy dolarów do puli płynności na Raydium i użyli botów washtradingowych, aby stworzyć fałszywą historię wolumenu. Spędzili tygodnie, produkując „cenę rynkową” na poziomie około 1.00 USD. Wyrocznie cenowe Drift – nieprzygotowane na zmanipulowane aktywa o zerowej rzeczywistej użyteczności – wychwyciły ten sygnał i zaczęły traktować CVT jako legalne zabezpieczenie.

Faza 2: Pułapka „trwałego nonce” (23–30 marca) 

Napastnicy skupili się na obiekcie Solana o nazwie trwałe noncesyZazwyczaj transakcja Solany wygasa po około 90 sekundach. Trwały identyfikator jednorazowy (nonce) pozwala na wstępne podpisanie transakcji i jej późniejsze rozpowszechnienie. Wykorzystując swoją pozycję społeczną, atakujący skłonili członków Rady Bezpieczeństwa Drift do wstępnego podpisania czegoś, co wyglądało na rutynowe transakcje administracyjne. W rzeczywistości były to „puste czeki”. Ponieważ były podpisywane trwałymi identyfikatorami jednorazowymi, atakujący trzymali się tych autoryzacji jak sprężyny.

Faza 3: Fatalna zmiana konfiguracji (27 marca) 

27 marca Drift wykonał strategiczny ruch, który zamienił ryzyko w katastrofę. Protokół przeniósł Radę Bezpieczeństwa do nowej konfiguracji progu 2/5 i ustalił blokada czasowa do zeraW większości protokołów DeFi „blokada czasowa” działa jak okres karencji, pozwalając społeczności na inspekcję i „zatrzymanie” działania. Usuwając ją, Drift wyeliminował jedyne okno czasowe, w którym mógł wykryć oszukańczą transakcję, zanim stała się ona sfinalizowana.

Faza 4: 12-minutowe wykonanie (1 kwietnia) 

1 kwietnia napastnicy poruszali się z przerażającą szybkością:

1. Depozyt: Zdeponowali setki milionów „bezwartościowych” tokenów CVT w Drift.
2. Manipulacja: Ponieważ wyrocznie uznały, że CVT jest warte 1.00 USD, do systemu napłynęło mnóstwo zabezpieczeń.
3. Odpływ: Korzystając z wcześniej autoryzowanych „pustych czeków” z marca, natychmiast podnieśli limity wypłat.

Po prostu 12 minutWykonali 31 wstępnie podpisanych wypłat, pożyczając prawdziwe aktywa, takie jak USDC i JLP, pod fałszywe zabezpieczenie. Środki zostały przelane na Ethereum, zanim zespół Drift zdążył zareagować.

Wykorzystanie KelpDAO: sabotowanie infrastruktury mostowej

Chociaż atak na Drift opierał się na inżynierii społecznej, $ 292 mln Wykorzystanie KelpDAO było atakiem technicznym na infrastruktura międzyłańcuchowej hydrauliki.

Luka: słabość pojedynczego weryfikatora 

KelpDAO wykorzystało most LayerZero dla swojego tokena rsETH. Aby zaoszczędzić na kosztach i złożoności, most został skonfigurowany w oparciu o konstrukcję „pojedynczego weryfikatora”. Oznaczało to, że cały system opierał się na jednym źródle prawdy – zdecentralizowanej sieci weryfikatorów LayerZero Labs (DVN) – w celu potwierdzenia, że ​​zasoby zostały przeniesione lub spalone. Nie było potrzeby udzielania drugiej opinii.

Przygotowanie: Zatrucie studni 

Atakujący zidentyfikowali i zhakowali dwa wewnętrzne węzły RPC KelpDAO. Węzły RPC to w zasadzie „uszy” aplikacji blockchain. Informują one oprogramowanie o tym, co dzieje się w sieci. Po wniknięciu do środka hakerzy podmienili oprogramowanie węzła na „zatrutą” wersję. Ta wersja została zaprogramowana tak, aby kłamać, informując, że rsETH został spalony w łańcuchu źródłowym, nawet gdy taka transakcja nie istniała.

Wykonanie: atak DDoS i przełączanie awaryjne (18 kwietnia) 

18 kwietnia atakujący przeprowadzili masowy atak typu Distributed Denial of Service (DDoS) na sprawne, zewnętrzne węzły RPC, na których zazwyczaj nasłuchiwał most. Gdy sprawne węzły przestały działać, weryfikator mostu postąpił zgodnie z protokołem bezpieczeństwa: „przełączył się awaryjnie” na jedyne węzły, które nadal odpowiadały – zainfekowane węzły wewnętrzne.

Zatrute węzły dostarczyły weryfikatorowi fałszywą narrację. Weryfikator, widząc „dowód” z jedynego dostępnego źródła, potwierdził fałszywą wiadomość międzyłańcuchową. To pozwoliło atakującym na wyczyszczenie 116 500 rsETH z kontraktu mostowego Ethereum.

The Scramble: Chaotyczna ucieczka 

W przeciwieństwie do spokojnych napastników z Driftu, grupa KelpDAO – zidentyfikowana jako Zdrajca Tradera podgrupa — popełniła błędy. Pozostawili 75 milionów dolarów w ETH na Arbitrum, scentralizowanej platformie warstwy 2. Dało to Radzie Bezpieczeństwa Arbitrum wystarczająco dużo czasu na skorzystanie z uprawnień nadzwyczajnych i zamrożenie funduszy.

Zamrożenie wywołało „szalony wyścig”. Hakerzy gorączkowo przelali pozostałe 175 milionów dolarów przez THORChain, wymieniając ETH na Bitcoina tak szybko, jak to możliwe. Ta faza była w dużej mierze obsługiwana przez chińskich pośredników, co pokazuje rozbitą, ale skuteczną sieć prania pieniędzy.

Kluczowa rola KYT i analityki blockchain

Te ataki stanowią fundamentalne wyzwanie dla integralności ekosystemu kryptowalutowego 2026. Statyczne czarne listy nie są już wystarczające, gdy podmioty państwowe mogą czekać miesiącami na przeniesienie skradzionych aktywów. To właśnie tutaj Poznaj swoją transakcję (KYT) oraz zaawansowany analityka blockchain stają się niezbędnymi mechanizmami obronnymi.

• Alarmowanie w czasie rzeczywistym: Sieci alertów umożliwiają natychmiastowe alerty międzyplatformowe. W przypadku zidentyfikowania adresu powiązanego z Koreą Północną, instytucje otrzymują powiadomienie w ciągu kilku minut, a nie dni, co może potencjalnie zatrzymać wypłatę przed jej rozliczeniem.
• Atrybucja wieloskokowa: Proste sprawdzanie „pierwszego skoku” można łatwo ominąć. Nowoczesne narzędzia analityczne śledzą przepływ środków przez dziesiątki portfeli pośredniczących i wiele mostów, identyfikując „prawdziwe” źródło majątku.
• Monitorowanie higieny mostu: Jak widać w ataku Drift, luka w zabezpieczeniach tkwiła w konfiguracji zarządzania i multisig. Narzędzia analityczne pomagają teraz firmom monitorować stan i zachowanie protokołów, z którymi wchodzą w interakcję, sygnalizując podejrzane transakcje z pre-signed lub zmiany w ustawieniach timelocków.

Zabezpiecz swoją infrastrukturę dzięki ChainUp KYT

Branża nie może polegać wyłącznie na trwałości zabezpieczeń blockchain. Ponieważ hakerzy stają się coraz bardziej cierpliwi i wyrafinowani, narzędzia obronne muszą być bardziej proaktywne.

ChainUp KYT Zapewnia monitoring na poziomie instytucjonalnym niezbędny do poruszania się po krajobrazie zagrożeń w 2026 roku. Nasze rozwiązanie wykracza poza podstawową czarną listę, oferując:

• Monitorowanie transakcji w czasie rzeczywistym: Wykrywaj i sygnalizuj podejrzane przepływy w chwili dotarcia do łańcucha, co pozwala na natychmiastową interwencję przed zakończeniem wypłat.
• Zaawansowane śledzenie wieloskokowe: Zobacz, co kryje się za „przeskokami” i portfelami pośredniczącymi, aby zidentyfikować fundusze pochodzące z północnokoreańskich klastrów i nadużyć związanych z mostami.
• Alerty dotyczące zarządzania protokołami: Monitoruj stan protokołów DeFi i mostów, z którymi wchodzisz w interakcję, otrzymując alerty dotyczące ryzykownych zmian konfiguracji lub nietypowej aktywności multisig.
• Bezproblemowa integracja zgodności: Stworzone dla operatorów giełdowych i podmiotów instytucjonalnych, które potrzebują precyzyjnych, klinicznych danych, aby spełnić globalne standardy regulacyjne.

Nie czekaj, aż upłynie Ci kolejnych 12 minut, żeby zdać sobie sprawę, że Twoje środki obrony są już nieaktualne. Zarezerwuj demo z ChainUp już dziś aby zobaczyć, w jaki sposób nasze rozwiązania KYT mogą wzmocnić Twoją infrastrukturę przed najbardziej zaawansowanymi zagrożeniami w branży.