getblock.net
С начала 2026 года северокорейские хакеры смогли получить криптоактивы на $577 млн. Это делает их самым прибыльным предприятием на рынке криптовалют. GetBlock AML Research объясняет, почему теперь крипторынкок принадлежит северокорейским специалистам.
Главное
- Хакеры из Северной Кореи, представляющие две разные группы, украли примерно $577 млн с начала 2026 года — это 76% всех потерь от взломов криптопроектов к апрелю, при том что речь идет всего о нескольких подтвержденных атаках.
- Взлом Drift Protocol ($285 млн, 1 апреля) включал три недели подготовки перед атакой и месяцы социальной инженерии, направленной на людей, подписывающих транзакции. Сам вывод средств занял примерно 12 минут.
- Атака на KelpDAO ($292 млн, 18 апреля) использовала уязвимость в мосте LayerZero, связанную с тем, что проверка транзакций выполнялась одним валидатором. После того как около $75 млн были заморожены в сети Arbitrum, злоумышленники отмывали средства через THORChain.
- Эти две атаки демонстрируют разные подходы к отмыванию средств: в случае Drift средства после быстрого перевода в Ethereum остаются без движения, тогда как в случае KelpDAO злоумышленники переключились на Bitcoin через THORChain и начали поэтапную ликвидацию активов по классической схеме.
- THORChain обработал большую часть средств как после взлома Bybit в 2025 году, так и после атаки на KelpDAO в 2026 году, конвертируя сотни миллионов долларов из $ETH в $BTC без каких-либо блокировок — фактически став стандартным инструментом для крупнейших северокорейских атак.
- Сеть Beacon, объединяющая более 30 участников (включая крупные биржи и DeFi-протоколы), позволяет мгновенно передавать сигналы, когда средства, связанные с Северной Кореей, поступают на платформы — еще до того, как они будут окончательно выведены.
- Общий объем криптокраж, приписываемых Северной Корее с 2017 года, превышает $6 млрд.
Доля Северной Кореи в криптокражах продолжает расти
Доля Северной Кореи в общем объеме украденных криптоактивов выросла с менее чем 10% в 2020 и 2021 годах до 22% в 2022 году, 37% в 2023 году, 39% в 2024 году и 64% в 2025 году. Показатель 2026 года — 76% к апрелю — является самым высоким за все время наблюдений.
Доля Северной Кореи в разрезе украденных криптоактивов с 2017 года. Визуализация: TRM Labs
Рост в 2025 году был почти полностью обусловлен взломом Bybit в феврале, когда из холодного кошелька было выведено $1,46 млрд через скомпрометированный интерфейс подписания Safe{Wallet}. Этот инцидент остается крупнейшим взломом в истории криптовалют. После него атаки на KelpDAO и Drift формируют один из крупнейших совокупных результатов Северной Кореи за аналогичный период.
При этом частота атак не изменилась. Основные хакерские группы Северной Кореи проводят небольшое количество операций в год, но каждая из них тщательно подготовлена и нацелена на крупные цели. Две атаки обеспечили 76% всех потерь 2026 года. Это означает, что злоумышленники не атакуют чаще — они атакуют точнее.
Изменился уровень сложности атак. Аналитики предполагают, что северокорейские операторы начинают использовать инструменты искусственного интеллекта для разведки и социальной инженерии. Это соответствует росту точности атак, таких как Drift, где требовались недели манипуляций сложными механизмами блокчейна, а не просто кража приватных ключей, как это было раньше.
Drift Protocol: украдено $285 млн, средства остаются без движения
Первоначальное расследование связывает атаку на Drift Protocol с северокорейскими хакерами. Предполагается, что это отдельная группа, не связанная напрямую с TraderTraitor, хотя точная атрибуция все еще уточняется.
Подготовка на блокчейне началась 11 марта с одного вывода 10 $ETH через Tornado Cash. Однако сама операция началась намного раньше и включала месяцы подготовки, включая личные встречи между северокорейскими посредниками и сотрудниками Drift — что является крайне необычным для подобных атак.
Техническая часть атаки использовала механизм «долговечного nonce» в блокчейне Solana. Обычно транзакции в Solana истекают примерно через 90 секунд, если не подтверждены. Однако долговечные nonce позволяют подписывать транзакции заранее и отправлять их позже — это функция, предназначенная для офлайн-подписания.
В период с 23 по 30 марта злоумышленники создали такие nonce-аккаунты и убедили участников мультиподписной системы безопасности Drift заранее подписать транзакции. 27 марта Drift изменил конфигурацию своей системы безопасности на схему 2 из 5 без временной задержки — именно это изменение было использовано атакующим.
Параллельно злоумышленники создали фиктивный токен CarbonVote Token (CVT), добавили минимальную ликвидность и искусственно завысили его цену через фиктивные сделки. Оракулы Drift приняли этот токен как реальный актив и использовали его как залог.
1 апреля заранее подписанные транзакции были активированы: 31 операция вывода средств была выполнена примерно за 12 минут, включая реальные активы вроде $USDC и JLP.
Большинство средств было переведено в сеть Ethereum в течение нескольких часов после атаки. С тех пор эти средства не перемещались. Предполагается, что группа будет выводить деньги медленно, в течение месяцев или даже лет.
Движение украденных у Drift Protocol средств. Визуализация: TRM Labs
KelpDAO: $292 млн быстро прошли через ту же инфраструктуру, что и в атаке на Bybit
Атака на KelpDAO 18 апреля была направлена на мост rsETH LayerZero в сети Ethereum.
Сначала злоумышленники скомпрометировали два внутренних RPC-узла, заменив их программное обеспечение так, чтобы они передавали ложные данные о состоянии блокчейна. Затем они провели DDoS-атаку на внешние узлы, вынудив систему использовать только зараженные источники данных.
Эти узлы сообщили, что токены rsETH были «сожжены» в исходной сети, хотя этого не происходило. Единственный валидатор, опираясь на ложные данные, подтвердил транзакцию как легитимную. В результате злоумышленники вывели около 116 500 rsETH на сумму примерно $292 млн.
Ключевая уязвимость заключалась в использовании только одного валидатора. Архитектура LayerZero допускает использование нескольких независимых проверяющих, но в данном случае был задействован только один, что сделало атаку возможной.
Два взлома, две стратегии отмывания
Атаки на Drift и KelpDAO демонстрируют разные подходы к отмыванию средств, сформированные разными условиями.
В случае Drift средства были конвертированы в $USDC, затем переведены в Ethereum и обменены на $ETH, после чего распределены по новым кошелькам и оставлены без движения. Это соответствует классической северокорейской стратегии — длительное хранение средств с последующим поэтапным выводом.
В случае KelpDAO приоритетом стала устойчивость. После атаки злоумышленники оставили около 30 766 $ETH в сети Arbitrum, где уровень централизации выше. Совет безопасности Arbitrum воспользовался экстренными полномочиями и заморозил эти средства (около $75 млн). Это вынудило хакеров срочно менять стратегию.
Около $175 млн в $ETH были конвертированы в Bitcoin, в основном через THORChain — протокол без требований KYC. Также использовался инструмент конфиденциальности Umbra для сокрытия связей между кошельками.
На данный момент процесс отмывания KelpDAO развивается по классической схеме TraderTraitor, при этом активную роль в дальнейшем выводе средств играют посредники, а не сами северокорейские операторы.
Что должны отслеживать команды комплаенса
Комплаенс-специалистам следует усилить внимание за финансовыми потоками, связанными с платформой THORChain.
Потоки через THORChain, связанные с KelpDAO
KelpDAO — лишь последний пример в длинной цепочке атак, где средства проходят через THORChain. В 2025 году большая часть средств, украденных у Bybit, была переведена из $ETH в $BTC через THORChain в период с 24 февраля по 2 марта. Это был беспрецедентный всплеск объема операций между блокчейнами, который протокол обработал без вмешательства.
Атака на KelpDAO повторила ту же схему в апреле 2026 года: около $175 млн в $ETH прошли через THORChain после частичной заморозки средств в Arbitrum. Разработчики и валидаторы THORChain заявляют, что протокол децентрализован и не может блокировать транзакции. Однако публичные заявления участников проекта показывают, что ситуация не всегда была однозначной.
Для Северной Кореи THORChain стал надежным каналом вывода средств: активы поступают в виде $ETH и выходят уже в $BTC. Биржи, получающие Bitcoin из пулов THORChain, должны проверять такие поступления на связь с известными адресами, связанными с KelpDAO и другими северокорейскими группами.
Уязвимости мультиподписей и управления в Solana
Атака на Drift была направлена не на бизнес-логику приложения, а на инфраструктуру управления. Протоколы, использующие мультиподпись Security Council в Solana с механизмом долговечных nonce, должны рассматривать этот случай как шаблон для будущих атак.
Биржи, принимающие депозиты из DeFi-протоколов Solana, должны отслеживать поступления средств через мосты, использованные в атаке Drift, включая маршруты через Jupiter и Wormhole.
Проверка многоступенчатых переводов между блокчейнами
И KelpDAO, и Bybit использовали мосты и кроссчейн-инфраструктуру как часть атаки или последующего отмывания средств. Потоки средств из мостов на биржи являются критически важным направлением мониторинга. Проверка только первого адреса недостаточна — средства могут проходить через несколько промежуточных кошельков.
Необходим анализ всей цепочки транзакций, включая несколько переходов между блокчейнами.
Подключение к Beacon Network для оперативных уведомлений
Обе крупнейшие атаки 2026 года были направлены на DeFi-протоколы. Сейчас такие протоколы входят в Beacon Network наряду с крупными биржами, такими как Coinbase, Binance, Kraken, OKX и Crypto.com.
Когда следователи помечают адреса, контролируемые злоумышленниками, система автоматически отслеживает движение средств в реальном времени и рассылает уведомления всем участникам сети.
Обычные системы проверки находят уже известные адреса, но Beacon Network сокращает время реакции с дней до минут, позволяя действовать до того, как средства будут окончательно выведены.