Северокорейские хакеры уже стали крупнейшим кошмаром в криптомире. Недавно я увидел отчет TRM Labs, и данные вызвали у меня некоторое волнение — всего за 4 месяца этого года северокорейские хакерские организации похитили около 577 миллионов долларов, что составляет 76% от украденных за тот же период по всему миру средств. Этот показатель действительно ошеломляющий.

Потери в основном связаны с двумя крупными инцидентами в апреле. Kelp DAO был обкраден на 292 миллиона долларов, а Drift Protocol — на 285 миллионов долларов. Интересно, что эти два случая составляют всего 3% от общего числа атак за первые 4 месяца этого года, но при этом несут подавляющую часть убытков. Это говорит о том, что северокорейские хакеры уже перешли от «случайных выстрелов» к точечным ударам.

За Kelp DAO стоит печально известная группа TraderTraitor, тесно связанная с группировкой Лазаря. А за Drift — другая, еще не полностью раскрытая группа северокорейских хакеров.

Говоря об атаках на Drift, я считаю, что самое страшное — это то, что это вовсе не внезапное нападение. TRM раскрывает, что это была сложная многомесячная операция по проникновению. Агентство Северной Кореи через несколько личных встреч контактировало с командой Drift, начиная с 11 марта, и начала подготовку: создавали постоянные аккаунты с nonce на Solana для предварительной подписи транзакций, а также вводили в заблуждение участников многосторонней подписи в комитете безопасности Drift. Критический удар пришелся на 1 апреля, когда после того, как Drift изменил порог полномочий в комитете безопасности и отменил тайм-аут всего за несколько дней, хакеры за 12 минут активировали 31 предварительно подписанную команду на вывод средств, полностью обобрав систему. Такой комбинацией социальной инженерии и технических манипуляций трудно противостоять.

Обман Kelp DAO — это другой сценарий. Хакеры обнаружили уязвимость в архитектуре моста LayerZero с «один проверяющий», внедрились в RPC-инфраструктуру и изменили логику проверки. После того, как они заставили систему передать полномочия проверки управляемому узлу, было украдено более 116 тысяч rsETH. Даже несмотря на то, что официальные представители Arbitrum срочно заморозили часть активов, хакеры быстро перевели средства через межцепочные протоколы, такие как THORChain.

Еще более тревожной является тенденция. Доля украденных криптовалют в глобальных потерях от краж увеличивается — с менее 10% в 2020 и 2021 годах до 22% в 2022, 37% в 2023, 39% в 2024 и 64% в 2025 году, а в этом году достигла рекордных 76%. С 2017 года суммарный объем украденных северокорейскими хакерами криптовалют превысил 6 миллиардов долларов.

TRM отмечает, что крупный инцидент в 2025 году — кража на 1,46 миллиарда долларов с крупной биржи — стал переломным моментом в тактике северокорейских хакеров. После этого они изменили стратегию: перестали стрелять вслепую и начали целенаправленно атаковать высокоценные цели, такие как межцепочные мосты и системы мультиподписей, чтобы нанести смертельный удар с одной попытки.

Интересно, что случаи Drift и Kelp DAO также отражают различия в методах отмывания денег у северокорейских группировок. Хакеры Drift проявляют большую терпеливость: после перевода средств на Ethereum они не трогают их несколько месяцев или даже лет, ожидая, пока ажиотаж утихнет, чтобы затем вывести прибыль. В то время как хакеры Kelp DAO предпочитают быстрый результат: быстро обменять средства через THORChain на биткойны и передать их в подпольные каналы для отмывания.

В условиях растущей угрозы TRM призывает крупные платформы немедленно усилить меры по соблюдению нормативов. Основные направления защиты включают строгий контроль за межцепочечными переводами через THORChain, усиление отслеживания многоступенчатых транзакций в инфраструктуре межцепочечных мостов и тщательную проверку путей депонирования, особенно связанных с постоянными nonce в транзакциях Solana. Кроме того, индустрия должна активно участвовать в межплатформенных системах совместной защиты, таких как Beacon Network, чтобы при обнаружении кошельков северокорейских хакеров быстро запускать совместные межплатформенные тревоги и полностью прервать каналы отмывания. Эта борьба еще далека от завершения, и кошмар криптомира продолжается.