北朝鮮のハッカーは $6B 暗号を2017年以降に盗み、2026年の損失の76%

北朝鮮のハッカーは、2026年上半期にこれまでのところサイバー犯罪者が押収（取得）した暗号資産のほぼ3/4を、4月に分散型ファイナンス（DeFi）プラットフォームで実行された2つの精密に計画された攻撃によって奪ったと、ブロックチェーン情報企業TRM Labsが報じた。2件の事案――4月1日のDrift Protocolでの14億8500万ドルの侵害と、4月18日のKelp DAOでの2億9200万ドルのエクスプロイト――は、4月までに追跡されたすべての暗号資産ハックによる損失の76%を合わせて占めている。総じてTRM Labsは、北朝鮮と関連があるハッカーが2017年以降に暗号資産のプロトコルやプロジェクトから60億ドル超を盗み出していると見積もっている。

攻撃手法と精度

Drift Protocolへの攻撃は、長期にわたるソーシャルエンジニアリングのキャンペーンが注目された。オンチェーンでの仕込みは3月11日に始まり、このキャンペーンでは、北朝鮮側の代理人とDriftの従業員が数か月にわたって対面で会合を行った。攻撃者らは、durable nonceと呼ばれるSolanaの機能を悪用し、事前に署名されたトランザクションを保管して、後の時点で配備できるようにする。4月1日には、約12分で31回の引き出しが実行され、USDCやJLPといった実在資産が流出した。盗まれた資金はすぐにEthereumへ移され、その後は休眠状態のままとなっている。

Kelp DAOへの攻撃は、別の技術的ルートだった。攻撃者らはまず2つの内部RPCノードを侵害し、その後、外部ノードに対してサービス拒否（DoS）攻撃を仕掛け、ブリッジの単一の検証者が汚染されたデータソースに依存せざるを得ない状況を作った。そのノードは、実際に行われていないにもかかわらず、元となるアセットがソースチェーンで焼却（burn）されたと虚偽の報告を行い、約116,500 rsETH――およそ2億9200万ドル相当――がEthereumブリッジのコントラクトから流出した。

北朝鮮による暗号資産窃盗の歴史的なエスカレーション

この数値は、国家と結びついた北朝鮮の関係者による暗号資産窃盗が加速して集中していることを示している。総額に占める北朝鮮の割合は、2020年・2021年に10%未満だったのが、2022年は22%、2023年は37%、2024年は39%、2025年は64%へと増加している。4月までの2026年の76%は、2件の事案が記録された事案総数のわずか3%であるにもかかわらず、記録上で最も高い継続的な構成比だ。

資金移動とマネーロンダリング

Kelp DAOの窃盗の後、Arbitrum Security Councilは緊急権限を発動し、ネットワーク上に残されていた盗難資金のおよそ7,500万ドルを凍結した――これはまれな介入で、迅速なマネーロンダリング対応を引き起こした。続いて、ETHで約1億7500万ドルがBitcoinへと交換され、主にTHORChainを通じて行われた。THORChainは、本人確認（KYC）の要件がないクロスチェーンの流動性プロトコルである。

THORChainは、2025年のBybit侵害――業界史上最悪の1.4Bドル超の暗号資産が盗まれた事件――と、2026年のKelp DAOハックの両方に由来する収益の大半を処理し、数億ドル規模の盗難ETHをBitcoinへ変換した。送金の凍結や拒否を行う意思のある運営者はいなかった。

攻撃の巧妙化が進む中

TRMのアナリストは、このグループがその手口を研ぎ澄ましているようだと指摘した。分析者は、北朝鮮の運用担当者が偵察やソーシャルエンジニアリングの業務フローにAIツールを組み込んでいるのではないかと推測し始めている。これは、複雑なブロックチェーンの仕組みに対する標的型の操作に数週間を要したDriftのような攻撃の精密さが高まっている流れとも整合する動きだ。